思科二款已EoL的IP電話機有重大安全漏洞，可引發遠端任意指令執行

思科本周發布安全公告，IP電話機系列軟體出現多項漏洞，包含3項可執行任意指令的重大漏洞，影響二款沒有修補程式的舊IP電話產品，思科鼓勵用戶升級。

這次修補的漏洞有5項，影響思科Cisco Small Business SPA300 Series和SPA500 Series IP電話機上的Web管理介面（UI）軟體。二款產品皆為適用中小企業的IP電話機。其中三項特別值得注意，編號分別為CVE-2024-20450、CVE-2024-20452和CVE-2024-20454，屬於風險值9.8的任意指令執行漏洞。這三項漏洞可讓未經驗證的遠端攻擊者在話機上的OS以root權限執行任意指令。

這些漏洞發生未能對輸入的HTTP封包適切檢查錯誤。攻擊者可傳送惡意HTTP呼叫到目標裝置來濫用漏洞。成功的濫用即可引發內部緩衝溢位，並以根（root）權限執行任意指令。

另外二項漏洞，包括2024-20451與CVE-2024-20453，為影響Web管理介面的阻斷服務（DoS）漏洞。漏洞出於管理介面未能檢查HTTP封包錯誤，使攻擊者得以傳送惡意HTTP封包到二款話機的Web UI以濫用漏洞。成功的濫用可讓攻擊者引發不預期受害裝置重覆載入，導致DoS情境。二項漏洞風險值皆為7.5。

思科警告，漏洞沒有迴避方法，但業者也未發布軟體更新。思科解釋，這是因為產品已經來到生命周期終點（Endo of Lifecycle,EoL），因此鼓勵用戶升級成更新一代產品。

思科旗下產品安全事件回應團隊目前尚未接獲有任何漏洞濫用的通報。