云安全日报211015：思科IP电话软件发现任意文件读

10月14日,思科公司发布了安全更新，修复了IP电话软件中发现的任意文件读取漏洞。以下是漏洞详情

漏洞详情

来源

https://tools.cisco./security/center/content/CiscoSecurityAdvisory/cisco-sa-ipphone-arbfileread-NPdtE2O

CVE-2021-34711 CVSS评分: 5.5 严重程度: 中

Cisco IP Phone 软件调试外壳中的漏洞可能允许经过身份验证的本地攻击者读取设备文件系统上的任何文件。

此漏洞是由于输入验证不足造成的。攻击者可以通过向调试 shell 命令提供精心设计的输入来利用此漏洞。成功的利用可能允许攻击者读取设备文件系统上的任何文件。

受影响产品

在发布时，此漏洞影响了以下运行 Cisco IP 电话软件易受攻击版本的 Cisco 产品

IP会议电话7832

IP会议电话8832

IP电话7800系列

IP电话8800系列

无线IP电话8821

解决方案

IP 会议电话 7832 和 8832 以及 IP 电话 7800 和 8800 系列

14.0之前版本升级至可修复版本

14.0版本升级至14.0(1)SR2

无线IP电话8821

11.0之前版本升级至可修复版本

11.0版本升级至11.0(6)Sr2

查看更多漏洞信息 以及升级请访问官网

https://tools.cisco./security/center/publicationListing.x