Уязвимость веб-интерфейса микропрограммного обеспечения IP-телефонов Cisco Small Business SPA300 и SPA500 связана с копированием в буфер без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды в базовой операционной системе с root-привилегиями путём отправки специально сформированных HTTP-пакетов
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;
- ограничение доступа к устройствам из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-spa-http-vulns-RJZmX2Xz
| Балл | 10 — критическая опасность |