Vulnerabilidad en la aplicación web para los teléfonos IP de Cisco podría permitir que un atacante remoto no autenticado ejecute código (CVE-2016-1421)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-119
Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria
Fecha de publicación:
10/06/2016
Última modificación:
12/04/2025
Descripción
Una vulnerabilidad en la aplicación web para los teléfonos IP de Cisco podría permitir que un atacante remoto no autenticado ejecute código con privilegios de root o provoque una recarga de un teléfono IP afectado, resultando en una condición de denegación de servicio (DoS). La vulnerabilidad existe porque el software afectado no puede verificar los límites de los datos de entrada. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP especialmente diseñada al servidor web de un dispositivo objetivo. Una explotación con éxito podría permitir al atacante ejecutar código de forma remota con privilegios de root o causar una recarga de un teléfono IP afectado, lo que provocaría una condición DoS.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:h:cisco:ip_phone:*:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ip_phone_8800_series_firmware:11.0\(1\):*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160609-ipp
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160609-ipp
- https://www.tenable.com/security/research/tra-2020-24
- http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160609-ipp
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160609-ipp
- https://www.tenable.com/security/research/tra-2020-24