Cisco已发布安全更新,修复影响多款思科桌面电话和IP电话型号的两个漏洞(CVE-2025-20350和CVE-2025-20351),包括9800、7800、8800和8875系列。这些漏洞可能允许未认证远程攻击者发起拒绝服务(DoS)攻击或跨站脚本(XSS)攻击。
CVE-2025-20350:CVSS 7.5 高风险缓冲区溢出漏洞
第一个漏洞CVE-2025-20350的CVSS基础评分为7.5(高风险),影响运行Cisco SIP Software的思科桌面电话和IP电话的Web界面。
其根源是设备处理恶意HTTP输入时触发的缓冲区溢出漏洞。
思科解释:“此漏洞源于受影响设备处理HTTP数据包时发生缓冲区溢出。攻击者可通过向设备发送特制HTTP输入利用该漏洞。成功利用可能导致设备重启,造成DoS状态。”
思科确认,该漏洞的利用需满足两个条件:Web访问已启用,且设备已注册到Cisco Unified Communications Manager。
幸运的是,Web访问默认处于禁用状态,这限制了大多数部署的暴露风险。目前无临时缓解措施,但公司已发布修补固件以解决该问题。
CVE-2025-20351:CVSS 6.1 中风险跨站脚本漏洞
第二个漏洞CVE-2025-20351的CVSS评分为6.1(中风险),影响同一产品线,但涉及Web界面内的输入验证不足,可能允许攻击者在受害者浏览器中执行任意JavaScript代码。
思科表示:“此漏洞源于受影响设备的Web UI未充分验证用户提供的输入。攻击者可通过诱骗用户点击特制链接利用该漏洞。成功利用可能允许攻击者在受影响界面的上下文中执行任意脚本代码,或访问敏感的浏览器端信息。”
与DoS漏洞类似,该漏洞的利用也要求Web访问被手动启用(默认禁用)。除完全禁用Web访问外,无其他临时缓解措施。
受影响产品与修复版本
思科确认,以下产品若运行易受攻击的Cisco SIP Software版本、已注册到Cisco Unified Communications Manager且启用Web访问,则会受到影响:
- Cisco Desk Phone 9800系列
- Cisco IP Phone 7800系列
- Cisco IP Phone 8800系列
- Cisco Video Phone 8875
思科强烈建议所有客户升级至修复版本,这是唯一的永久缓解措施。修复版本包括:
- 桌面电话9800系列:SIP Software 3.3(1)
- IP电话7800/8800系列:SIP Software 14.3(1)SR2和14.4(1)
- IP电话8821:SIP Software 11.0(6)SR7
- 视频电话8875:SIP Software 3.3(1)
发表评论
您还未登录,请先登录。
登录