Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00305

Опубликовано: 29 дек. 2023
Источник: fstec
CVSS3: 4.9
CVSS2: 6.1
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения телефонов и акустических систем для конференц-связи Poly связана с отсутствием необходимой проверки при изменении пароля. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, изменить пароль администратора

Вендор

Poly Inc.

Наименование ПО

Trio 8300
Trio 8500
Trio 8800
Trio C60
CCX 350
CCX 400
CCX 500
CCX 505
CCX 600
CCX 700
EDGE E100
EDGE E220
EDGE E300
EDGE E320
EDGE E350
EDGE E400
EDGE E450
EDGE E500
EDGE E550
VVX 101
VVX 150
VVX 201
VVX 250
VVX 300
VVX 301
VVX 310
VVX 311
VVX 350
VVX 400
VVX 401
VVX 410
VVX 411
VVX 450
VVX 500
VVX 501
VVX 600
VVX 601

Версия ПО

- (Trio 8300)
- (Trio 8500)
- (Trio 8800)
- (Trio C60)
- (CCX 350)
- (CCX 400)
- (CCX 500)
- (CCX 505)
- (CCX 600)
- (CCX 700)
- (EDGE E100)
- (EDGE E220)
- (EDGE E300)
- (EDGE E320)
- (EDGE E350)
- (EDGE E400)
- (EDGE E450)
- (EDGE E500)
- (EDGE E550)
- (VVX 101)
- (VVX 150)
- (VVX 201)
- (VVX 250)
- (VVX 300)
- (VVX 301)
- (VVX 310)
- (VVX 311)
- (VVX 350)
- (VVX 400)
- (VVX 401)
- (VVX 410)
- (VVX 411)
- (VVX 450)
- (VVX 500)
- (VVX 501)
- (VVX 600)
- (VVX 601)

Тип ПО

Микропрограммный код

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,9)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости.
Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 29%
0.00108
Низкий

4.9 Medium

CVSS3

6.1 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-4465

CVSS3: 2.7
nvd
около 2 лет назад

A vulnerability, which was classified as problematic, was found in Poly Trio 8300, Trio 8500, Trio 8800, Trio C60, CCX 350, CCX 400, CCX 500, CCX 505, CCX 600, CCX 700, EDGE E100, EDGE E220, EDGE E300, EDGE E320, EDGE E350, EDGE E400, EDGE E450, EDGE E500, EDGE E550, VVX 101, VVX 150, VVX 201, VVX 250, VVX 300, VVX 301, VVX 310, VVX 311, VVX 350, VVX 400, VVX 401, VVX 410, VVX 411, VVX 450, VVX 500, VVX 501, VVX 600 and VVX 601. Affected is an unknown function of the component Configuration File Import. The manipulation of the argument device.auth.localAdminPassword leads to unverified password change. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. VDB-249258 is the identifier assigned to this vulnerability.

github логотип

GHSA-hpp6-2prw-cvwr

CVSS3: 2.7
github
около 2 лет назад

A vulnerability, which was classified as problematic, was found in Poly CCX 400, CCX 600, Trio 8800 and Trio C60. Affected is an unknown function of the component Configuration File Import. The manipulation of the argument device.auth.localAdminPassword leads to unverified password change. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. VDB-249258 is the identifier assigned to this vulnerability.

EPSS

Процентиль: 29%
0.00108
Низкий

4.9 Medium

CVSS3

6.1 Medium

CVSS2