CVE-2024-20378

Опубликовано: 01 мая 2024

Источник: nvd

CVSS3: 7.5

EPSS Низкий

Описание

A vulnerability in the web-based management interface of Cisco IP Phone firmware could allow an unauthenticated, remote attacker to retrieve sensitive information from an affected device.

This vulnerability is due to a lack of authentication for specific endpoints of the web-based management interface on an affected device. An attacker could exploit this vulnerability by connecting to the affected device. A successful exploit could allow the attacker to gain unauthorized access to the device, enabling the recording of user credentials and traffic to and from the affected device, including VoIP calls that could be replayed.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:o:cisco:ip_phone_6821_with_multiplatform_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:o:cisco:ip_phone_6821_with_multiplatform_firmware:12.0.4:-:*:*:*:*:*:*

cpe:2.3:h:cisco:ip_phone_6821:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

Одно из

cpe:2.3:o:cisco:ip_phone_6841_with_multiplatform_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:o:cisco:ip_phone_6841_with_multiplatform_firmware:12.0.4:-:*:*:*:*:*:*

cpe:2.3:h:cisco:ip_phone_6841:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

Одно из

cpe:2.3:o:cisco:ip_phone_6851_with_multiplatform_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:o:cisco:ip_phone_6851_with_multiplatform_firmware:12.0.4:-:*:*:*:*:*:*

cpe:2.3:h:cisco:ip_phone_6851:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

Одно из

cpe:2.3:o:cisco:ip_phone_6861_with_multiplatform_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:o:cisco:ip_phone_6861_with_multiplatform_firmware:12.0.4:-:*:*:*:*:*:*

cpe:2.3:h:cisco:ip_phone_6861:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

Одно из

cpe:2.3:o:cisco:ip_phone_6871_with_multiplatform_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:o:cisco:ip_phone_6871_with_multiplatform_firmware:12.0.4:-:*:*:*:*:*:*

cpe:2.3:h:cisco:ip_phone_6871:-:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

Одно из

cpe:2.3:o:cisco:ip_phone_7811_with_multiplatform_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:o:cisco:ip_phone_7811_with_multiplatform_firmware:12.0.4:-:*:*:*:*:*:*

cpe:2.3:h:cisco:ip_phone_7811:-:*:*:*:*:*:*:*

Конфигурация 7

Одновременно

Одно из

cpe:2.3:o:cisco:ip_phone_7821_with_multiplatform_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:o:cisco:ip_phone_7821_with_multiplatform_firmware:12.0.4:-:*:*:*:*:*:*

cpe:2.3:h:cisco:ip_phone_7821:-:*:*:*:*:*:*:*

Конфигурация 8

Одновременно

Одно из

cpe:2.3:o:cisco:ip_phone_7841_with_multiplatform_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:o:cisco:ip_phone_7841_with_multiplatform_firmware:12.0.4:-:*:*:*:*:*:*

cpe:2.3:h:cisco:ip_phone_7841:-:*:*:*:*:*:*:*

Конфигурация 9

Одновременно

Одно из

cpe:2.3:o:cisco:ip_phone_7861_with_multiplatform_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:o:cisco:ip_phone_7861_with_multiplatform_firmware:12.0.4:-:*:*:*:*:*:*

cpe:2.3:h:cisco:ip_phone_7861:-:*:*:*:*:*:*:*

Конфигурация 10

Одновременно

Одно из

cpe:2.3:o:cisco:ip_phone_8811_with_multiplatform_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:o:cisco:ip_phone_8811_with_multiplatform_firmware:12.0.4:-:*:*:*:*:*:*

cpe:2.3:h:cisco:ip_phone_8811:-:*:*:*:*:*:*:*

Конфигурация 11

Одновременно

Одно из

cpe:2.3:o:cisco:ip_phone_8841_with_multiplatform_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:o:cisco:ip_phone_8841_with_multiplatform_firmware:12.0.4:-:*:*:*:*:*:*

cpe:2.3:h:cisco:ip_phone_8841:-:*:*:*:*:*:*:*

Конфигурация 12

Одновременно

Одно из

cpe:2.3:o:cisco:ip_phone_8851_with_multiplatform_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:o:cisco:ip_phone_8851_with_multiplatform_firmware:12.0.4:-:*:*:*:*:*:*

cpe:2.3:h:cisco:ip_phone_8851:-:*:*:*:*:*:*:*

Конфигурация 13

Одновременно

Одно из

cpe:2.3:o:cisco:ip_phone_8851nr_with_multiplatform_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:o:cisco:ip_phone_8851nr_with_multiplatform_firmware:12.0.4:-:*:*:*:*:*:*

cpe:2.3:h:cisco:ip_phone_8851nr:-:*:*:*:*:*:*:*

Конфигурация 14

Одновременно

Одно из

cpe:2.3:o:cisco:ip_phone_8861_with_multiplatform_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:o:cisco:ip_phone_8861_with_multiplatform_firmware:12.0.4:-:*:*:*:*:*:*

cpe:2.3:h:cisco:ip_phone_8861:-:*:*:*:*:*:*:*

Конфигурация 15

Одновременно

cpe:2.3:o:cisco:video_phone_8875_with_multiplatform_firmware:*:*:*:*:*:*:*:*

Версия до 2.3.1.0101 (исключая)

cpe:2.3:h:cisco:video_phone_8875:-:*:*:*:*:*:*:*

EPSS

Процентиль: 74%

0.00797

Низкий

7.5 High

CVSS3

Дефекты

CWE-305

Связанные уязвимости

GHSA-q87c-gjjf-xqfw

CVSS3: 7.5

github

почти 2 года назад

A vulnerability in the web-based management interface of Cisco IP Phone firmware could allow an unauthenticated, remote attacker to retrieve sensitive information from an affected device. This vulnerability is due to a lack of authentication for specific endpoints of the web-based management interface on an affected device. An attacker could exploit this vulnerability by connecting to the affected device. A successful exploit could allow the attacker to gain unauthorized access to the device, enabling the recording of user credentials and traffic to and from the affected device, including VoIP calls that could be replayed.

BDU:2024-03816

CVSS3: 7.5

fstec

почти 2 года назад

Уязвимость веб-интерфейса управления микропрограммного обеспечения IP-телефонов Cisco IP Phone 6800, Cisco IP Phone 7800, Cisco IP Phone 8800 и Cisco Video Phone 8875, позволяющая нарушителю раскрыть защищаемую информацию

EPSS

Процентиль: 74%

0.00797

Низкий

7.5 High

CVSS3

Дефекты

CWE-305