Cisco a en fait révélé la présence d’une vulnérabilité importante (CVE-2023-20126) dans l’interface utilisateur de gestion Web des adaptateurs téléphoniques Cisco SPA112 à 2 ports.
Les adaptateurs sont couramment utilisés pour intégrer des téléphones analogiques dans les réseaux VoIP sans nécessiter de mise à niveau.
À propos de la vulnérabilité (CVE-2023-20126)
CVE-2023 -20126 peut être utilisé sans authentification préalable.
« Cette vulnérabilité est due à une procédure d’authentification manquante dans la fonction de mise à niveau du micrologiciel. Un attaquant pourrait exploiter cette vulnérabilité en mettant à niveau un gadget affecté vers une version spécialement conçue de firmware », décrit l’avis de sécurité de Cisco.
« Une utilisation efficace de pourrait permettre à l’agresseur d’exécuter du code arbitraire sur l’appareil concerné avec toutes les chances. »
La vulnérabilité a été signalée en privé et il n’y a aucun indicateur qui il a en fait été exploité dans la nature.
Suppression
L’adaptateur vulnérable n’est plus pris en charge, ce qui indique que Cisco ne lancera pas de mises à jour du micrologiciel pour réparer cette vulnérabilité.
En l’absence de réparations et de solutions de contournement disponibles, Cisco invite les clients à migrer vers un appareil plus récent.
Dans l’avis de sécurité, les utilisateurs doivent passer à un adaptateur de téléphone analogique de la gamme Cisco ATA 190, mais le document EOL pour l’adaptateur de téléphone à 2 ports Cisco SPA112 pointe vers l’adaptateur de téléphone analogique de la gamme Cisco ATA 191 comme un remplacement convenable.
Toute l’actualité en temps réel, est sur L’Entrepreneur
