发布日期：2020-04-15
更新日期：2020-04-23

受影响系统：

Cisco IP Phone 8851 11.0(0.1)
Cisco IP Phone 8851
Cisco IP Phone 8800
Cisco IP Phone 7960
Cisco IP Phone 7940
Cisco IP Phone 7921
Cisco IP Phone 7900 Series
Cisco IP Phone 7800
Cisco IP Phone 6800

描述：

---

CVE(CAN) ID: CVE-2020-3161

Cisco IP Phones是思科网络电话产品。

Cisco IP Phones产品的 web server中存在输入验证错误漏洞，由于没有对HTTP请求进行正确的输入验证。通过借助特制HTTP请求，攻击者可利用该漏洞以root权限执行代码或造成拒绝服务。

<*来源：Cisco
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

*禁用 IP 电话上的 web 访问权限。

默认情况下，Web访问是禁用的。 管理员可以从Cisco Unified Communications Manager中检查Web访问配置：选择Device > Phone > Select a Phone，然后检查Web 访问是否设置为“启用”或“禁用”。 如果将其设置为“禁用”，则IP电话不会受到攻击。

厂商补丁：

Cisco
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载升级补丁，下载链接：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voip-phones-rce-dos-rB6EeRXs

浏览次数：924
严重程度：0（网友投票）