Cisco IP Phone 8800 Series 授权绕过漏洞

CVE编号

CVE-2019-1763

利用情况

暂无

补丁情况

N/A

披露时间

2019-03-23

漏洞描述

思科IP电话8800系列的会话初始协议（SIP）软件基于Web的管理界面中的漏洞可能允许未经身份验证的远程攻击者绕过授权，访问关键服务并导致拒绝服务（DoS）条件。存在此漏洞是因为该软件在处理请求之前无法清理URL。攻击者可以通过提交特制URL来利用此漏洞。成功的利用可能使攻击者获得对关键服务的未经授权的访问并导致DoS条件。此漏洞影响运行用于无线IP电话8821和8821-EX的11.0（5）之前的SIP软件版本的Cisco IP Phone 8800系列产品； IP会议电话8832和其余IP电话8800系列的12.5（1）SR1。 Cisco IP会议电话8831不受影响。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-s...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	centos_8	batik-rasterizer	*		Up to (excluding) 1.8.0.6.0-3.el8_1
	运行在以下环境
	系统	cisco	ip_conference_phone_8832_firmware	*		Up to (excluding) 12.5\(1\)sr1
	运行在以下环境
	系统	cisco	ip_phone_8800_firmware	*		Up to (excluding) 12.5\(1\)sr1
	运行在以下环境
	系统	cisco	ip_phone_8821-ex_firmware	*		Up to (excluding) 11.0\(5\)
	运行在以下环境
	系统	cisco	ip_phone_8821_firmware	*		Up to (excluding) 11.0\(5\)
	运行在以下环境
	系统	debian_9	eclipse-wtp	*		Up to (excluding) 3.6.3-3+deb9u1
	运行在以下环境
	系统	fedora_31	eclipse-wtp	*		Up to (excluding) 9.4.24-2.v20191120.fc31
	运行在以下环境
	系统	fedora_32	eclipse-wtp	*		Up to (excluding) 1.13-1.fc32
	运行在以下环境
	系统	redhat_8	batik-rasterizer	*		Up to (excluding) 1.8.0.6.0-3.el8_1
	运行在以下环境
	系统	sles_12	java-1_8_0-ibm	*		Up to (excluding) 1.8.0_sr6.0-30.60
	运行在以下环境
	系统	sles_12_SP4	eclipse-wtp	*		Up to (excluding) 1.8.0_sr6.0-30.60.1
	运行在以下环境
	系统	sles_12_SP5	eclipse-wtp	*		Up to (excluding) 1.8.0_sr6.0-30.60.1
	运行在以下环境
	硬件	cisco	ip_conference_phone_8832	-	-
	运行在以下环境
	硬件	cisco	ip_phone_8800	-	-
	运行在以下环境
	硬件	cisco	ip_phone_8821	-	-
	运行在以下环境
	硬件	cisco	ip_phone_8821-ex	-	-
查看完整数据

CVSS3评分 7.5

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 无
• 完整性 无

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CWE-ID 漏洞类型 NVD-CWE-Other