Vulnerabilidad en la interfaz de gestión web en dispositivos Unify (CVE-2014-9563)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-93
Neutralización incorrecta de secuencias de retornos de carro y saltos de linea (CRLF)
Fecha de publicación:
12/04/2018
Última modificación:
09/09/2021
Descripción
Vulnerabilidad de inyección CRLF en la interfaz de gestión web (WBM) en dispositivos Unify (anteriormente Siemens) OpenStage SIP y OpenScape Desk Phone IP V3, en versiones anteriores a la R3.32.0, permite que usuarios autenticados remotos modifiquen la contraseña root y, en consecuencia, accedan al puerto de depuración empleando la interfaz en serie mediante el parámetro ssh-password en page.cmd.
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:unify:openstage_sip:*:*:*:*:*:*:*:* | r3.32.0 (excluyendo) | |
| cpe:2.3:h:unify:openstage_20:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:unify:openstage_40:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:unify:openstage_60:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:unify:openscape_desk_phone_ip_sip:*:*:*:*:*:*:*:* | r3.32.0 (excluyendo) | |
| cpe:2.3:h:atos:openscape_desk_phone_ip_35g:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:atos:openscape_desk_phone_ip_35g_eco:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:atos:openscape_desk_phone_ip_55g:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página