Cisco advirtió sobre una falla de seguridad crítica en los adaptadores de teléfono de 2 puertos SPA112 que, según dijo, podría ser explotada por un atacante remoto para ejecutar código arbitrario en los dispositivos afectados.
El problema, rastreado como CVE-2023-20126 , tiene una calificación de 9,8 de un máximo de 10 en el sistema de calificación CVSS. La compañía le dio crédito a Catalpa de DBappSecurity por informar sobre la deficiencia.
El producto en cuestión permite conectar teléfonos analógicos y máquinas de fax a un proveedor de servicios de VoIP sin necesidad de una actualización.
«Esta vulnerabilidad se debe a la falta de un proceso de autenticación dentro de la función de actualización del firmware», dijo la compañía en un boletín.
«Un atacante podría explotar esta vulnerabilidad al actualizar un dispositivo afectado a una versión modificada del firmware. Una explotación exitosa podría permitir que el atacante ejecute código arbitrario en el dispositivo afectado con todos los privilegios».
A pesar de la gravedad de la falla, el fabricante de equipos de red dijo que no tiene la intención de publicar correcciones debido a que los dispositivos han llegado al final de su vida útil (EoL) a partir del 1 de junio de 2020.
En su lugar, recomienda que los usuarios migren a un adaptador de teléfono analógico de la serie ATA 190 de Cisco, que recibirá su última actualización el 31 de marzo de 2024. No hay evidencia de que la falla se haya explotado maliciosamente en la naturaleza.
Fuente y redacción: thehackernews.com
