阿里云漏洞库

漏洞描述

Cisco IP Phones是思科网络电话产品。<br />

思科IP电话的Web服务器中的漏洞可能允许未经身份验证的远程攻击者以root特权执行代码，或者重新加载受影响的IP电话，从而导致拒绝服务（DoS）状态。该漏洞是由于缺乏对HTTP请求的正确输入验证所致。攻击者可以通过向目标设备的Web服务器发送特制的HTTP请求来利用此漏洞。成功的利用可能使攻击者能够以root特权远程执行代码，或导致重新加载受影响的IP电话，从而导致DoS状态。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voip-phones-rce-dos-rB6EeRXs

参考链接
http://packetstormsecurity.com/files/157265/Cisco-IP-Phone-11.7-Denial-Of-Ser...
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-s...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	cisco	8831_firmware	10.3(1)es14	-
	运行在以下环境
	系统	cisco	8831_firmware	11.0(1)	-
	运行在以下环境
	系统	cisco	8831_firmware	11.0(5)sr1	-
	运行在以下环境
	系统	cisco	ip_phone_7811_firmware	11.0(1)	-
	运行在以下环境
	系统	cisco	ip_phone_7821_firmware	11.0(1)	-
	运行在以下环境
	系统	cisco	ip_phone_7841_firmware	11.0(1)	-
	运行在以下环境
	系统	cisco	ip_phone_7861_firmware	11.0(1)	-
	运行在以下环境
	系统	cisco	ip_phone_8811_firmware	10.3(1)es14	-
	运行在以下环境
	系统	cisco	ip_phone_8811_firmware	11.0(1)	-
	运行在以下环境
	系统	cisco	ip_phone_8811_firmware	11.0(5)sr1	-
	运行在以下环境
	系统	cisco	ip_phone_8821-ex_firmware	10.3(1)es14	-
	运行在以下环境
	系统	cisco	ip_phone_8821-ex_firmware	11.0(1)	-
	运行在以下环境
	系统	cisco	ip_phone_8821-ex_firmware	11.0(5)sr1	-
	运行在以下环境
	系统	cisco	ip_phone_8821_firmware	10.3(1)es14	-
	运行在以下环境
	系统	cisco	ip_phone_8821_firmware	11.0(1)	-
	运行在以下环境
	系统	cisco	ip_phone_8821_firmware	11.0(5)sr1	-
	运行在以下环境
	系统	cisco	ip_phone_8841_firmware	10.3(1)es14	-
	运行在以下环境
	系统	cisco	ip_phone_8841_firmware	11.0(1)	-
	运行在以下环境
	系统	cisco	ip_phone_8841_firmware	11.0(5)sr1	-
	运行在以下环境
	系统	cisco	ip_phone_8845_firmware	10.3(1)es14	-
	运行在以下环境
	系统	cisco	ip_phone_8845_firmware	11.0(1)	-
	运行在以下环境
	系统	cisco	ip_phone_8845_firmware	11.0(5)sr1	-
	运行在以下环境
	系统	cisco	ip_phone_8851_firmware	10.3(1)es14	-
	运行在以下环境
	系统	cisco	ip_phone_8851_firmware	11.0(1)	-
	运行在以下环境
	系统	cisco	ip_phone_8851_firmware	11.0(5)sr1	-
	运行在以下环境
	系统	cisco	ip_phone_8861_firmware	10.3(1)es14	-
	运行在以下环境
	系统	cisco	ip_phone_8861_firmware	11.0(1)	-
	运行在以下环境
	系统	cisco	ip_phone_8861_firmware	11.0(5)sr1	-
	运行在以下环境
	系统	cisco	ip_phone_8865_firmware	10.3(1)es14	-
	运行在以下环境
	系统	cisco	ip_phone_8865_firmware	11.0(1)	-
	运行在以下环境
	系统	cisco	ip_phone_8865_firmware	11.0(5)sr1	-
	运行在以下环境
硬件	cisco	8831	-	-
运行在以下环境
硬件	cisco	ip_phone_7811	-	-
运行在以下环境
硬件	cisco	ip_phone_7821	-	-
运行在以下环境
硬件	cisco	ip_phone_7841	-	-
运行在以下环境
硬件	cisco	ip_phone_7861	-	-
运行在以下环境
硬件	cisco	ip_phone_8811	-	-
运行在以下环境
硬件	cisco	ip_phone_8821	-	-
运行在以下环境
硬件	cisco	ip_phone_8821-ex	-	-
运行在以下环境
硬件	cisco	ip_phone_8841	-	-
运行在以下环境
硬件	cisco	ip_phone_8845	-	-
运行在以下环境
硬件	cisco	ip_phone_8851	-	-
运行在以下环境
硬件	cisco	ip_phone_8861	-	-
运行在以下环境
硬件	cisco	ip_phone_8865	-	-

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

未更改
用户交互

无
可用性

高
保密性

高
完整性

高

CWE-ID	漏洞类型
CWE-20	输入验证不恰当

Cisco IP Phones web server输入验证错误漏洞

漏洞描述

解决建议

参考链接

受影响软件情况