BDU:2024-00375

Опубликовано: 29 дек. 2023

Источник: fstec

CVSS3: 7.2

CVSS2: 8.3

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения телефонов и акустических систем для конференц-связи Poly существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды операционной системы

Вендор

Poly Inc.

Наименование ПО

Trio 8300

Trio 8500

Trio 8800

Trio C60

CCX 350

CCX 400

CCX 500

CCX 505

CCX 600

CCX 700

EDGE E100

EDGE E220

EDGE E300

EDGE E320

EDGE E350

EDGE E400

EDGE E450

EDGE E500

EDGE E550

VVX 101

VVX 150

VVX 201

VVX 250

VVX 300

VVX 301

VVX 310

VVX 311

VVX 350

VVX 400

VVX 401

VVX 410

VVX 411

VVX 450

VVX 500

VVX 501

VVX 600

VVX 601

Версия ПО

- (Trio 8300)

- (Trio 8500)

- (Trio 8800)

- (Trio C60)

- (CCX 350)

- (CCX 400)

- (CCX 500)

- (CCX 505)

- (CCX 600)

- (CCX 700)

- (EDGE E100)

- (EDGE E220)

- (EDGE E300)

- (EDGE E320)

- (EDGE E350)

- (EDGE E400)

- (EDGE E450)

- (EDGE E500)

- (EDGE E550)

- (VVX 101)

- (VVX 150)

- (VVX 201)

- (VVX 250)

- (VVX 300)

- (VVX 301)

- (VVX 310)

- (VVX 311)

- (VVX 350)

- (VVX 400)

- (VVX 401)

- (VVX 410)

- (VVX 411)

- (VVX 450)

- (VVX 500)

- (VVX 501)

- (VVX 600)

- (VVX 601)

Тип ПО

Микропрограммный код

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;

- ограничение доступа к устройству из внешних сетей (Интернет);

- использование виртуальных частных сетей для организации удаленного доступа (VPN);

- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости.

Организационные меры:

1. Ограничить использование программного средства

2. Использование аналогичного программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-4464
CVE

EPSS

Процентиль: 76%

0.00964

Низкий

7.2 High

CVSS3

8.3 High

CVSS2

Связанные уязвимости

CVE-2023-4464

CVSS3: 7.2

nvd

около 2 лет назад

A vulnerability, which was classified as critical, has been found in Poly Trio 8300, Trio 8500, Trio 8800, Trio C60, CCX 350, CCX 400, CCX 500, CCX 505, CCX 600, CCX 700, EDGE E100, EDGE E220, EDGE E300, EDGE E320, EDGE E350, EDGE E400, EDGE E450, EDGE E500, EDGE E550, VVX 101, VVX 150, VVX 201, VVX 250, VVX 300, VVX 301, VVX 310, VVX 311, VVX 350, VVX 400, VVX 401, VVX 410, VVX 411, VVX 450, VVX 500, VVX 501, VVX 600 and VVX 601. This issue affects some unknown processing of the component Diagnostic Telnet Mode. The manipulation leads to os command injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. It is recommended to upgrade the affected component. The identifier VDB-249257 was assigned to this vulnerability.

GHSA-rfg4-wjmf-xghf

CVSS3: 7.2

github

около 2 лет назад

A vulnerability, which was classified as critical, has been found in Poly CCX 400, CCX 600, Trio 8800 and Trio C60. This issue affects some unknown processing of the component Diagnostic Telnet Mode. The manipulation leads to os command injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. It is recommended to upgrade the affected component. The identifier VDB-249257 was assigned to this vulnerability.

EPSS

Процентиль: 76%

0.00964

Низкий

7.2 High

CVSS3

8.3 High

CVSS2