Vulnerabilidad en teléfonos Cisco IP (CVE-2019-1763)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/03/2019
Última modificación:
08/10/2020
Descripción
Una vulnerabilidad en la interfaz de gestión web de Session Initiation Protocol (SIP) en los teléfonos Cisco IP 8800 Series podría permitir que un atacante remoto sin autenticar omita la autorización, acceda a servicios críticos y provoque una condición de denegación de servicio (DoS). La vulnerabilidad existe debido a que el software no sanea las URL antes de manejar las peticiones. Un atacante podría explotar esta vulnerabilidad enviando una URL manipulada. Su explotación con éxito podría permitir que el atacante obtenga acceso a servicios críticos y provoque una denegación de servicio (DoS). La vulnerabilidad afecta a los productos Cisco IP Phone 8800 Series que ejecutan una versión de software SIP anterior a la 11.0(5) para Wireless IP Phone 8821 y 8821-EX; y 12.5(1)SR1 para IP Conference Phone 8832 y el resto de IP Phone 8800 Series. Cisco IP Conference Phone 8831 no se ha visto afectado.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:ip_phone_8821_firmware:*:*:*:*:*:*:*:* | 11.0\(5\) (excluyendo) | |
| cpe:2.3:h:cisco:ip_phone_8821:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ip_phone_8821-ex_firmware:*:*:*:*:*:*:*:* | 11.0\(5\) (excluyendo) | |
| cpe:2.3:h:cisco:ip_phone_8821-ex:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ip_conference_phone_8832_firmware:*:*:*:*:*:*:*:* | 12.5\(1\)sr1 (excluyendo) | |
| cpe:2.3:h:cisco:ip_conference_phone_8832:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:ip_phone_8800_firmware:*:*:*:*:*:*:*:* | 12.5\(1\)sr1 (excluyendo) | |
| cpe:2.3:h:cisco:ip_phone_8800:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página