Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Cisco製IP電話に脆弱性、PoCが公開済み - パッチは来年公開予定

Cisco Systemsが提供する一部IP電話にゼロデイ脆弱性が明らかとなった。すでに実証コード(PoC)が公開済みだという。

「Cisco IP Phone 7800シリーズ」や、「Cisco Wireless IP Phone 8821」以外の「同8800シリーズ」に脆弱性「CVE-2022-20968」が明らかとなったもの。

「Cisco Discoveryプロトコル」の処理において入力検証に不備があり、細工されたパケットを処理するとスタックオーバーフローが生じ、リモートよりコードを実行されたり、サービス拒否を引き起こすおそれがある。

隣接ネットワーク内より攻撃が可能であり、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.1」、重要度は「高(High)」とレーティングされている。

脆弱性が実際に攻撃へ悪用されたとの報告はないが、脆弱性について公開の場で議論されており、概念実証のエクスプロイトコードが入手できる状態にあるという。

(Security NEXT - 2022/12/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

「VMware vRealize Log Insight」の深刻な脆弱性、PoCが公開
脆弱性スキャナ「Nessus」にセキュリティアップデート
コンテナ管理プラットフォーム「Rancher」に深刻な脆弱性
macOS向けアップデート - 複数脆弱性を修正
狙われる「Telerik UI for ASP.NET AJAX」の既知脆弱性
「BIND 9」にサービス拒否の脆弱性 - アップデートが公開
「Chrome」にセキュリティアップデート - 複数脆弱性を修正
WordPress向けショッピングカートプラグインに脆弱性 - 任意のファイルを閲覧されるおそれ
VMwareのログ管理ツールに複数の深刻なRCE脆弱性
米政府、「ManageEngine」の脆弱性に対する攻撃に注意喚起