Vulnerabilidad en Cisco Video Phone y Cisco Desk Phone (CVE-2025-20158)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

19/02/2025

Última modificación:

19/02/2025

Descripción

Una vulnerabilidad en el shell de depuración de Cisco Video Phone 8875 y Cisco Desk Phone 9800 Series podría permitir que un atacante local autenticado acceda a información confidencial en un dispositivo afectado. Para explotar esta vulnerabilidad, el atacante debe tener credenciales administrativas válidas con acceso SSH en el dispositivo afectado. El acceso SSH está deshabilitado de forma predeterminada. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario por parte del shell de depuración de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad enviando un comando de cliente SSH manipulado a la CLI. Una explotación exitosa podría permitir al atacante acceder a información confidencial en el sistema operativo subyacente.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.40 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

4.40

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-phone-info-disc-YyxsWStK