Множественные уязвимости в Snom VoIP Phone Firmware

Уязвимости позволяют удаленному пользователю осуществить XSS- и CSRF-атаки, обойти ограничения безопасности и раскрыть важную информацию.

1) Уязвимость существует из-за неизвестной ошибки при обработке входных данных. Удаленный пользователь может с помощью специально сформированной ссылки выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2) Уязвимость существует из-за недостаточной проверки входных данных. Удаленный пользователь может раскрыть содержание определенных файлов с помощью обхода каталогов.

3) Уязвимость существует из-за того, что устройство некорректно ограничивает доступ к настройкам горячих клавиш. Удаленный пользователь может изменить некоторые настройки.

4) Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов. Удаленный пользователь может с помощью специально сформированной ссылки осуществить CSRF-нападение и изменить определенные настройки, когда авторизованный пользователь с административными привилегиями перейдет по данной ссылке.

5) Уязвимость существует из-за того, что устройство некорректно ограничивает доступ к функции обновления. Удаленный пользователь может обновить прошивку устройства или откатить ее до более старой версии.