Vulnerabilidad en Cisco IP Phone (CVE-2018-0461)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
10/01/2019
Última modificación:
09/10/2019
Descripción
Una vulnerabilidad en el software Cisco IP Phone 8800 Series podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de inyección de scripts en un sistema afectado. La vulnerabilidad existe debido a que el software que se ejecuta en un dispositivo afectado no valida lo suficiente los datos proporcionados por el usuario. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario de que haga clic sobre un enlace malicioso que se le proporciona o mediante la interfaz de un dispositivo afectado. Un exploit con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz de usuario o acceder a información sensible del sistema, lo que en circunstancias normales debería estar prohibido.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:ip_phone_8800_series_firmware:12.5\(1\):*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:ip_phone_8811:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:ip_phone_8841:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:ip_phone_8845:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:ip_phone_8851:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:ip_phone_8861:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:ip_phone_8865:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página