Vulnerabilidad en el acceso a la interfaz física de un dispositivo mediante un dispositivo de almacenamiento USB en Cisco Small Business SPA500 Series IP Phones (CVE-2019-15959)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
23/09/2020
Última modificación:
08/10/2020
Descripción
Una vulnerabilidad en Cisco Small Business SPA500 Series IP Phones, podría permitir a un atacante cercano físicamente ejecutar comandos arbitrarios en el dispositivo. La vulnerabilidad es debido a la presencia de una prueba de desarrollo y una verificación de scripts que permanecieron en el dispositivo. Un atacante podría explotar esta vulnerabilidad mediante el acceso a la interfaz física de un dispositivo e insertando un dispositivo de almacenamiento USB. Una explotación con éxito podría permitir al atacante ejecutar scripts en el dispositivo en un contexto de seguridad elevado
Impacto
Puntuación base 3.x
6.60
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.60
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:spa500_series_ip_phones_firmware:*:*:*:*:*:*:*:* | 7.5.7\(5\) (incluyendo) | |
| cpe:2.3:h:cisco:spa500ds:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:spa500s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:spa501g:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:spa502g:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:spa504g:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:spa512g:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:spa514g:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:spa525g:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:spa525g2:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página