WID-SEC-W-2024-3360
Vulnerability from csaf_certbund - Published: 2024-11-06 23:00 - Updated: 2024-11-06 23:00Summary
Cisco IP Phone: Mehrere Schwachstellen
Severity
Mittel
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung: Cisco IP Phone ist ein Endgerät für IP-basierte Telefonie.
Angriff: Ein entfernter Angreifer kann mehrere Schwachstellen in Cisco IP Phone ausnutzen, um Informationen offenzulegen oder einen Cros-Site-Scripting-Angriff durchzuführen.
Betroffene Betriebssysteme: - CISCO Appliance
Es besteht eine Schwachstelle in Cisco IP Phone. Dieser Fehler existiert wegen der unsachgemäßen Speicherung sensibler Informationen innerhalb der Web-UI von SIP-basierten Telefonen. Ein anonymer Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen, indem er die IP-Adresse eines Geräts aufruft, auf dem Web Access aktiviert ist.
In Cisco IP Phone existieren mehrere Cross-Site Scripting Schwachstellen. HTML und Script-Eingaben werden in der Web-UI nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter, authentisierter Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich.
In Cisco IP Phone existieren mehrere Cross-Site Scripting Schwachstellen. HTML und Script-Eingaben werden in der Web-UI nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter, authentisierter Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich.
References
{
"document": {
"aggregate_severity": {
"text": "mittel"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "Cisco IP Phone ist ein Endger\u00e4t f\u00fcr IP-basierte Telefonie.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter Angreifer kann mehrere Schwachstellen in Cisco IP Phone ausnutzen, um Informationen offenzulegen oder einen Cros-Site-Scripting-Angriff durchzuf\u00fchren.",
"title": "Angriff"
},
{
"category": "general",
"text": "- CISCO Appliance",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2024-3360 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-3360.json"
},
{
"category": "self",
"summary": "WID-SEC-2024-3360 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-3360"
},
{
"category": "external",
"summary": "Cisco Security Advisory cisco-sa-mpp-xss-8tAV2TvF vom 2024-11-06",
"url": "https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mpp-xss-8tAV2TvF"
},
{
"category": "external",
"summary": "Cisco Security Advisory cisco-sa-phone-infodisc-sbyqQVbG vom 2024-11-06",
"url": "https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-phone-infodisc-sbyqQVbG"
}
],
"source_lang": "en-US",
"title": "Cisco IP Phone: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2024-11-06T23:00:00.000+00:00",
"generator": {
"date": "2024-11-07T09:33:32.651+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.8"
}
},
"id": "WID-SEC-W-2024-3360",
"initial_release_date": "2024-11-06T23:00:00.000+00:00",
"revision_history": [
{
"date": "2024-11-06T23:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version_range",
"name": "Desk Phone 9800 Series \u003c3.2(1)",
"product": {
"name": "Cisco IP Phone Desk Phone 9800 Series \u003c3.2(1)",
"product_id": "T038803"
}
},
{
"category": "product_version",
"name": "Desk Phone 9800 Series 3.2(1)",
"product": {
"name": "Cisco IP Phone Desk Phone 9800 Series 3.2(1)",
"product_id": "T038803-fixed",
"product_identification_helper": {
"cpe": "cpe:/h:cisco:ip_phone:desk_phone_9800_series__3.2%25281%2529"
}
}
},
{
"category": "product_version_range",
"name": "IP Phone 6800, 7800, and 8800 SeriesSeries \u003c12.0.6",
"product": {
"name": "Cisco IP Phone IP Phone 6800, 7800, and 8800 SeriesSeries \u003c12.0.6",
"product_id": "T038804"
}
},
{
"category": "product_version",
"name": "IP Phone 6800, 7800, and 8800 SeriesSeries 12.0.6",
"product": {
"name": "Cisco IP Phone IP Phone 6800, 7800, and 8800 SeriesSeries 12.0.6",
"product_id": "T038804-fixed",
"product_identification_helper": {
"cpe": "cpe:/h:cisco:ip_phone:ip_phone_6800_7800_and_8800_seriesseries__12.0.6"
}
}
},
{
"category": "product_version_range",
"name": "Video Phone 8875 \u003c3.2(1)",
"product": {
"name": "Cisco IP Phone Video Phone 8875 \u003c3.2(1)",
"product_id": "T038805"
}
},
{
"category": "product_version",
"name": "Video Phone 8875 3.2(1)",
"product": {
"name": "Cisco IP Phone Video Phone 8875 3.2(1)",
"product_id": "T038805-fixed",
"product_identification_helper": {
"cpe": "cpe:/h:cisco:ip_phone:video_phone_8875__3.2%25281%2529"
}
}
},
{
"category": "product_version_range",
"name": "IP Phone 7800 and 8800 Series \u003c14.3(1)",
"product": {
"name": "Cisco IP Phone IP Phone 7800 and 8800 Series \u003c14.3(1)",
"product_id": "T038806"
}
},
{
"category": "product_version",
"name": "IP Phone 7800 and 8800 Series 14.3(1)",
"product": {
"name": "Cisco IP Phone IP Phone 7800 and 8800 Series 14.3(1)",
"product_id": "T038806-fixed",
"product_identification_helper": {
"cpe": "cpe:/h:cisco:ip_phone:ip_phone_7800_and_8800_series__14.3%25281%2529"
}
}
}
],
"category": "product_name",
"name": "IP Phone"
}
],
"category": "vendor",
"name": "Cisco"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2024-20445",
"notes": [
{
"category": "description",
"text": "Es besteht eine Schwachstelle in Cisco IP Phone. Dieser Fehler existiert wegen der unsachgem\u00e4\u00dfen Speicherung sensibler Informationen innerhalb der Web-UI von SIP-basierten Telefonen. Ein anonymer Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen, indem er die IP-Adresse eines Ger\u00e4ts aufruft, auf dem Web Access aktiviert ist."
}
],
"product_status": {
"known_affected": [
"T038806",
"T038805",
"T038804",
"T038803"
]
},
"release_date": "2024-11-06T23:00:00.000+00:00",
"title": "CVE-2024-20445"
},
{
"cve": "CVE-2024-20533",
"notes": [
{
"category": "description",
"text": "In Cisco IP Phone existieren mehrere Cross-Site Scripting Schwachstellen. HTML und Script-Eingaben werden in der Web-UI nicht ordnungsgem\u00e4\u00df \u00fcberpr\u00fcft, bevor sie an den Benutzer zur\u00fcckgegeben werden. Ein entfernter, authentisierter Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T038805",
"T038804",
"T038803"
]
},
"release_date": "2024-11-06T23:00:00.000+00:00",
"title": "CVE-2024-20533"
},
{
"cve": "CVE-2024-20534",
"notes": [
{
"category": "description",
"text": "In Cisco IP Phone existieren mehrere Cross-Site Scripting Schwachstellen. HTML und Script-Eingaben werden in der Web-UI nicht ordnungsgem\u00e4\u00df \u00fcberpr\u00fcft, bevor sie an den Benutzer zur\u00fcckgegeben werden. Ein entfernter, authentisierter Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T038805",
"T038804",
"T038803"
]
},
"release_date": "2024-11-06T23:00:00.000+00:00",
"title": "CVE-2024-20534"
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…