CVE-2023-20265

MITJÀ: (5,5)

CVSS3: 5,3

Cisco IP Phone és vulnerable a una injecció indirecta de scripts, causada per una validació incorrecta de l’entrada proporcionada per l’usuari. Un atacant autenticat remot podria explotar aquesta vulnerabilitat per injectar un script maliciós a una pàgina web que s’executaria al navegador web d’una víctima dins del context de seguretat del lloc web d’allotjament, un cop visualitzada la pàgina. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de la víctima.

Sistemes Afectats

• Cisco Unified IP Phone 6901
• Cisco Unified SIP Phone 3905
• Cisco IP DECT 210 Multi-Cell Base Station with Multiplatform Firmware
• Cisco IP DECT 110 Single-Cell Base Station with Multiplatform Firmware

Remediació
Consulteu l’Assessorament de seguretat de Cisco  cisco-sa-uipphone-xss-NcmUykqA per obtenir informació sobre el pedaç, l’actualització o la solució alternativa. Vegeu-ne les Referències.

Referències

• Cisco IP Phone Stored Cross-Site Scripting Vulnerability