Множественные уязвимости в Snom VoIP Phone Firmware

Дата публикации:
19.01.2015
Дата изменения:
19.01.2015
Всего просмотров:
761
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
5
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Snom VoIP Phone Firmware 8.x
Snom VoIP Phone Firmware 7.x
Snom VoIP Phone Firmware 6.x
Уязвимые версии:
Snom VoIP Phone Firmware 6.x
Snom VoIP Phone Firmware 7.x
Snom VoIP Phone Firmware 8.x до 8.7.5.15

Описание:

Уязвимости позволяют удаленному пользователю осуществить XSS- и CSRF-атаки, обойти ограничения безопасности и раскрыть важную информацию.

1) Уязвимость существует из-за неизвестной ошибки при обработке входных данных. Удаленный пользователь может с помощью специально сформированной ссылки выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2) Уязвимость существует из-за недостаточной проверки входных данных. Удаленный пользователь может раскрыть содержание определенных файлов с помощью обхода каталогов.

3) Уязвимость существует из-за того, что устройство некорректно ограничивает доступ к настройкам горячих клавиш. Удаленный пользователь может изменить некоторые настройки.

4) Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов. Удаленный пользователь может с помощью специально сформированной ссылки осуществить CSRF-нападение и изменить определенные настройки, когда авторизованный пользователь с административными привилегиями перейдет по данной ссылке.

5) Уязвимость существует из-за того, что устройство некорректно ограничивает доступ к функции обновления. Удаленный пользователь может обновить прошивку устройства или откатить ее до более старой версии.


URL производителя: http://snom.com

Решение: Установите исправление с сайта производителя.

Ссылки: http://wiki.snom.com/8.7.5.15_OpenVPN_Security_Update
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20150113-0_snom_IP_phones_Multiple_critical_vulnerabilities_v10_wo_poc.txt