Cisco IP Phones 已儲存 XSS (cisco-sa-mpp-xss-8tAV2TvF)
medium Nessus Plugin ID 211396
語言:
概要
遠端裝置缺少廠商提供的安全性修補程式。說明
根據軟體自我報告的版本,Cisco 6800、7800、8800 和 9800 系列手機存在有多平台韌體儲存跨網站指令碼弱點,會受到多個弱點影響。- Cisco Desk Phone 9800 系列、Cisco IP Phone 6800、7800 和 8800 系列,以及裝有 Cisco Multiplatform 韌體的 Cisco Video Phone 8875 中的 Web UI 有一個弱點,可允許經驗證的遠端攻擊者執行已儲存的跨網站指令碼 (XSS ) 攻擊。此弱點之所以存在,是因為受影響裝置的 Web UI 未正確驗證使用者提供的輸入。攻擊者可透過向介面的特定頁面注入惡意程式碼來利用此弱點。若惡意利用得逞,攻擊者即可在受影響介面的內容中執行任意指令碼,或存取敏感的瀏覽器資訊。注意:如果惡意利用此弱點,必須在手機上啟用 Web Access,同時攻擊者必須在裝置上擁有系統管理員認證。Web Access 預設為停用狀態。(CVE-2024-20533、CVE-2024-20534)
如需詳細資訊,請參閱隨附的 Cisco BID 和 Cisco 安全公告。
解決方案
套用供應商公告中提及的修補程式。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 211396
檔案名稱: cisco-sa-mpp-xss-8tAV2TvF.nasl
版本: 1.2
類型: remote
系列: CISCO
已發布: 2024/11/15
已更新: 2024/11/18
組態: 啟用 Paranoid 模式
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.0
CVSS v2
風險因素: Medium
基本分數: 4.7
時間性分數: 3.5
媒介: CVSS2#AV:N/AC:L/Au:M/C:P/I:P/A:N
CVSS 評分資料來源: CVE-2024-20533
CVSS v3
風險因素: Medium
基本分數: 4.8
時間性分數: 4.2
媒介: CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS 評分資料來源: CVE-2024-20534
弱點資訊
CPE: x-cpe:/h:cisco:ip_phone, x-cpe:/o:cisco:ip_phone
必要的 KB 項目: installed_sw/Cisco IP Phone, Settings/ParanoidReport
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2024/11/6
弱點發布日期: 2024/11/6
參考資訊
CVE: CVE-2024-20533, CVE-2024-20534
CWE: 79
CISCO-SA: cisco-sa-mpp-xss-8tAV2TvF
IAVA: 2024-A-0720
CISCO-BUG-ID: CSCwm38104, CSCwm39676, CSCwm41649, CSCwm41650, CSCwm41651, CSCwm41656, CSCwm41657, CSCwm41664, CSCwm41666, CSCwm41668, CSCwm41710, CSCwm41711, CSCwm41712, CSCwm41715, CSCwm41716, CSCwm41721, CSCwm41723, CSCwm41724