Cisco IP Phones 已儲存 XSS (cisco-sa-mpp-xss-8tAV2TvF)

medium Nessus Plugin ID 211396

概要

遠端裝置缺少廠商提供的安全性修補程式。

說明

根據軟體自我報告的版本,Cisco 6800、7800、8800 和 9800 系列手機存在有多平台韌體儲存跨網站指令碼弱點,會受到多個弱點影響。

- Cisco Desk Phone 9800 系列、Cisco IP Phone 6800、7800 和 8800 系列,以及裝有 Cisco Multiplatform 韌體的 Cisco Video Phone 8875 中的 Web UI 有一個弱點,可允許經驗證的遠端攻擊者執行已儲存的跨網站指令碼 (XSS ) 攻擊。此弱點之所以存在,是因為受影響裝置的 Web UI 未正確驗證使用者提供的輸入。攻擊者可透過向介面的特定頁面注入惡意程式碼來利用此弱點。若惡意利用得逞,攻擊者即可在受影響介面的內容中執行任意指令碼,或存取敏感的瀏覽器資訊。注意:如果惡意利用此弱點,必須在手機上啟用 Web Access,同時攻擊者必須在裝置上擁有系統管理員認證。Web Access 預設為停用狀態。(CVE-2024-20533、CVE-2024-20534)

如需詳細資訊,請參閱隨附的 Cisco BID 和 Cisco 安全公告。

解決方案

套用供應商公告中提及的修補程式。

另請參閱

http://www.nessus.org/u?2b42ac96

Plugin 詳細資訊

嚴重性: Medium

ID: 211396

檔案名稱: cisco-sa-mpp-xss-8tAV2TvF.nasl

版本: 1.2

類型: remote

系列: CISCO

已發布: 2024/11/15

已更新: 2024/11/18

組態: 啟用 Paranoid 模式

支援的感應器: Nessus

風險資訊

VPR

風險因素: Low

分數: 3.0

CVSS v2

風險因素: Medium

基本分數: 4.7

時間性分數: 3.5

媒介: CVSS2#AV:N/AC:L/Au:M/C:P/I:P/A:N

CVSS 評分資料來源: CVE-2024-20533

CVSS v3

風險因素: Medium

基本分數: 4.8

時間性分數: 4.2

媒介: CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2024-20534

弱點資訊

CPE: x-cpe:/h:cisco:ip_phone, x-cpe:/o:cisco:ip_phone

必要的 KB 項目: installed_sw/Cisco IP Phone, Settings/ParanoidReport

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/11/6

弱點發布日期: 2024/11/6

參考資訊

CVE: CVE-2024-20533, CVE-2024-20534