Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-20774

Опубликовано: 06 апр. 2022
Источник: nvd
CVSS3: 6.8
CVSS3: 8.1
CVSS2: 4.9
EPSS Низкий

Описание

A vulnerability in the web-based management interface of Cisco IP Phone 6800, 7800, and 8800 Series with Multiplatform Firmware could allow an unauthenticated, remote attacker to conduct a cross-site request forgery (CSRF) attack against a user of the web-based interface of an affected system. This vulnerability is due to insufficient CSRF protections for the web-based management interface of an affected device. An attacker could exploit this vulnerability by persuading an authenticated user of the interface to follow a crafted link. A successful exploit could allow the attacker to perform configuration changes on the affected device, resulting in a denial of service (DoS) condition.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:cisco:ip_phone_6871_firmware:*:*:*:*:*:*:*:*
Версия до 11.3.5 (исключая)
cpe:2.3:h:cisco:ip_phone_6871:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

cpe:2.3:o:cisco:ip_phone_6861_firmware:*:*:*:*:*:*:*:*
Версия до 11.3.5 (исключая)
cpe:2.3:h:cisco:ip_phone_6861:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:o:cisco:ip_phone_6851_firmware:*:*:*:*:*:*:*:*
Версия до 11.3.5 (исключая)
cpe:2.3:h:cisco:ip_phone_6851:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

cpe:2.3:o:cisco:ip_phone_6841_firmware:*:*:*:*:*:*:*:*
Версия до 11.3.5 (исключая)
cpe:2.3:h:cisco:ip_phone_6841:-:*:*:*:*:*:*:*
Конфигурация 5

Одновременно

cpe:2.3:o:cisco:ip_phone_6825_firmware:*:*:*:*:*:*:*:*
Версия до 11.3.5 (исключая)
cpe:2.3:h:cisco:ip_phone_6825:-:*:*:*:*:*:*:*
Конфигурация 6

Одновременно

cpe:2.3:o:cisco:ip_phone_7861_firmware:*:*:*:*:*:*:*:*
Версия до 11.3.5 (исключая)
cpe:2.3:h:cisco:ip_phone_7861:-:*:*:*:*:*:*:*
Конфигурация 7

Одновременно

cpe:2.3:o:cisco:ip_phone_7841_firmware:*:*:*:*:*:*:*:*
Версия до 11.3.5 (исключая)
cpe:2.3:h:cisco:ip_phone_7841:-:*:*:*:*:*:*:*
Конфигурация 8

Одновременно

cpe:2.3:o:cisco:ip_phone_7832_firmware:*:*:*:*:*:*:*:*
Версия до 11.3.5 (исключая)
cpe:2.3:h:cisco:ip_phone_7832:-:*:*:*:*:*:*:*
Конфигурация 9

Одновременно

cpe:2.3:o:cisco:ip_phone_7821_firmware:*:*:*:*:*:*:*:*
Версия до 11.3.5 (исключая)
cpe:2.3:h:cisco:ip_phone_7821:-:*:*:*:*:*:*:*
Конфигурация 10

Одновременно

cpe:2.3:o:cisco:ip_phone_7811_firmware:*:*:*:*:*:*:*:*
Версия до 11.3.5 (исключая)
cpe:2.3:h:cisco:ip_phone_7811:-:*:*:*:*:*:*:*
Конфигурация 11

Одновременно

cpe:2.3:o:cisco:ip_phone_8865_firmware:*:*:*:*:*:*:*:*
Версия до 11.3.5 (исключая)
cpe:2.3:h:cisco:ip_phone_8865:-:*:*:*:*:*:*:*
Конфигурация 12

Одновременно

cpe:2.3:o:cisco:ip_phone_8861_firmware:*:*:*:*:*:*:*:*
Версия до 11.3.5 (исключая)
cpe:2.3:h:cisco:ip_phone_8861:-:*:*:*:*:*:*:*
Конфигурация 13

Одновременно

cpe:2.3:o:cisco:ip_phone_8851_firmware:*:*:*:*:*:*:*:*
Версия до 11.3.5 (исключая)
cpe:2.3:h:cisco:ip_phone_8851:-:*:*:*:*:*:*:*
Конфигурация 14

Одновременно

cpe:2.3:o:cisco:ip_phone_8845_firmware:*:*:*:*:*:*:*:*
Версия до 11.3.5 (исключая)
cpe:2.3:h:cisco:ip_phone_8845:-:*:*:*:*:*:*:*
Конфигурация 15

Одновременно

cpe:2.3:o:cisco:ip_phone_8841_firmware:*:*:*:*:*:*:*:*
Версия до 11.3.5 (исключая)
cpe:2.3:h:cisco:ip_phone_8841:-:*:*:*:*:*:*:*
Конфигурация 16

Одновременно

cpe:2.3:o:cisco:ip_phone_8832_firmware:*:*:*:*:*:*:*:*
Версия до 11.3.5 (исключая)
cpe:2.3:h:cisco:ip_phone_8832:-:*:*:*:*:*:*:*
Конфигурация 17

Одновременно

cpe:2.3:o:cisco:ip_phone_8811_firmware:*:*:*:*:*:*:*:*
Версия до 11.3.5 (исключая)
cpe:2.3:h:cisco:ip_phone_8811:-:*:*:*:*:*:*:*

EPSS

Процентиль: 48%
0.00252
Низкий

6.8 Medium

CVSS3

8.1 High

CVSS3

4.9 Medium

CVSS2

Дефекты

CWE-345
CWE-352

Связанные уязвимости

github логотип

GHSA-xpv7-p5h9-8rgm

CVSS3: 8.1
github
почти 4 года назад

A vulnerability in the web-based management interface of Cisco IP Phone 6800, 7800, and 8800 Series with Multiplatform Firmware could allow an unauthenticated, remote attacker to conduct a cross-site request forgery (CSRF) attack against a user of the web-based interface of an affected system. This vulnerability is due to insufficient CSRF protections for the web-based management interface of an affected device. An attacker could exploit this vulnerability by persuading an authenticated user of the interface to follow a crafted link. A successful exploit could allow the attacker to perform configuration changes on the affected device, resulting in a denial of service (DoS) condition.

fstec логотип

BDU:2022-02433

CVSS3: 6.8
fstec
больше 4 лет назад

Уязвимость веб-интерфейса управления микропрограммного обеспечения IP-телефонов Cisco IP Phone 6800, Cisco IP Phone 7800 и Cisco IP Phone 8800, позволяющая нарушителю осуществить CSRF-атаку

EPSS

Процентиль: 48%
0.00252
Низкий

6.8 Medium

CVSS3

8.1 High

CVSS3

4.9 Medium

CVSS2

Дефекты

CWE-345
CWE-352