Cisco Video Phone 8875 和 Desk Phone 9800 系列的信息泄露漏洞 (cisco-sa-phone-info-disc-YyxsWStK)
medium Nessus 插件 ID 216595
语言:
简介
远程设备缺少供应商提供的安全补丁。描述
根据应用程序自我报告的版本,Cisco Video Phone 8875 和 Desk Phone 9800 系列受到信息泄露漏洞的影响。- Cisco Video Phone 8875 和 Cisco Desk Phone 9800 系列的调试 Shell 中的漏洞允许经身份验证的本地攻击者访问受影响设备上的敏感信息。若要利用此漏洞,攻击者需要在受影响的设备上拥有有效的系统管理员凭据且具有 SSH 访问权限。默认情况下禁用 SSH 访问权限。产生此漏洞的原因是,程序未充分验证用户通过受影响设备的调试 Shell 提供的输入。攻击者可通过向 CLI 发送伪造的 SSH 客户端命令来利用此漏洞。若成功利用此漏洞,攻击者便可访问底层操作系统上的敏感信息。(CVE-2025-20158)
请参阅随附的 Cisco BID 和 Cisco 安全公告,了解更多信息。
解决方案
升级到 Cisco 缺陷 ID CSCwn51779、CSCwn58742、CSCwn58744 中提及的相关修正版本另见
http://www.nessus.org/u?c4cd3682
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwn51779
插件详情
严重性: Medium
ID: 216595
文件名: cisco-sa-phone-info-disc-YyxsWStK.nasl
版本: 1.1
类型: remote
系列: CISCO
发布时间: 2025/2/21
最近更新时间: 2025/2/21
配置: 启用偏执模式
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Medium
基本分数: 4.3
时间分数: 3.2
矢量: CVSS2#AV:L/AC:L/Au:M/C:C/I:N/A:N
CVSS 分数来源: CVE-2025-20158
CVSS v3
风险因素: Medium
基本分数: 4.4
时间分数: 3.9
矢量: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: x-cpe:/h:cisco:ip_phone, x-cpe:/o:cisco:ip_phone
必需的 KB 项: Settings/ParanoidReport, installed_sw/Cisco IP Phone
易利用性: No known exploits are available
补丁发布日期: 2025/2/19
漏洞发布日期: 2025/2/19
参考资料信息
CVE: CVE-2025-20158
CWE: 200
CISCO-SA: cisco-sa-phone-info-disc-YyxsWStK
IAVA: 2025-A-0117
CISCO-BUG-ID: CSCwn51779, CSCwn58742, CSCwn58744