10月14日,思科公司发布了安全更新,修复了IP电话软件中发现的任意文件读取漏洞。以下是漏洞详情:
漏洞详情
来源:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipphone-arbfileread-NPdtE2Ow
CVE-2021-34711 CVSS评分: 5.5 严重程度: 中
Cisco IP Phone 软件调试外壳中的漏洞可能允许经过身份验证的本地攻击者读取设备文件系统上的任何文件。
此漏洞是由于输入验证不足造成的。攻击者可以通过向调试 shell 命令提供精心设计的输入来利用此漏洞。成功的利用可能允许攻击者读取设备文件系统上的任何文件。
受影响产品
在发布时,此漏洞影响了以下运行 Cisco IP 电话软件易受攻击版本的 Cisco 产品:
IP会议电话7832
IP会议电话8832
IP电话7800系列
IP电话8800系列
无线IP电话8821
解决方案
IP 会议电话 7832 和 8832 以及 IP 电话 7800 和 8800 系列:
14.0之前版本升级至可修复版本
14.0版本升级至14.0(1)SR2
无线IP电话8821
11.0之前版本升级至可修复版本
11.0版本升级至11.0(6)Sr2
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/publicationListing.x
