Vulnerabilidad en Cisco IP Phone (CVE-2017-12328)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

30/11/2017

Última modificación:

20/04/2025

Descripción

Una vulnerabilidad en la manipulación de llamadas SIP (Session Initiation Protocol) de los dispositivos de la serie 8800 de Cisco IP Phone podría permitir que un atacante remoto no autenticado provoque una denegación de servicio (DoS) porque el proceso SIP se reinicia de manera inesperada. Todas las llamadas telefónicas activas se colgarían al reiniciarse el proceso SIP. Esta vulnerabilidad se debe a la incompleta validación de entradas de la cabecera de los paquetes SIP. Un atacante podría explotar esta vulnerabilidad enviando un paquete SIP mal formado al teléfono objetivo. El atacante podría utilizar un exploit para provocar una denegación de servicio (DoS) porque todas las llamadas telefónicas se cuelgan cuando el proceso SIP se reinicia de manera inesperada. Cisco Bug IDs: CSCvc62590.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.80 MEDIA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

5.80

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:N/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico