Vulnerabilidad en Cisco IP Phones (CVE-2023-20265)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
21/11/2023
Última modificación:
25/01/2024
Descripción
Una vulnerabilidad en la interfaz de administración basada en web de un pequeño subconjunto de Cisco IP Phones podría permitir que un atacante remoto autenticado lleve a cabo un ataque de cross-site scripting (XSS) almacenado contra un usuario de la interfaz en un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de una interfaz afectada para que vea una página que contenga HTML o script maliciosos. Un exploit exitoso podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Para aprovechar esta vulnerabilidad, el atacante debe tener credenciales válidas para acceder a la interfaz de administración basada en web del dispositivo afectado.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:ip_dect_110_firmware:*:*:*:*:*:*:*:* | 5.1.2sr1 (excluyendo) | |
| cpe:2.3:h:cisco:ip_dect_110:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ip_dect_210_firmware:*:*:*:*:*:*:*:* | 5.1.2sr1 (excluyendo) | |
| cpe:2.3:h:cisco:ip_dect_210:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:unified_ip_phone_6901_firmware:*:*:*:*:*:*:*:* | 9.0 (incluyendo) | 9.3\(1\)sr3 (excluyendo) |
| cpe:2.3:h:cisco:unified_ip_phone_6901:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:unified_sip_phone_3905_firmware:*:*:*:*:*:*:*:* | 9.0 (incluyendo) | 9.4\(1\)sr4 (excluyendo) |
| cpe:2.3:h:cisco:unified_sip_phone_3905:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página