Cisco Desk/IP/Video Phoneのクロスサイトスクリプティングcisco-sa-phone-dos-FPyjLV7ACVE-2025-20351

medium Nessus プラグイン ID 271390

Language:

概要

リモートデバイスに、ベンダーが提供したセキュリティパッチがありません。

説明

自己報告されたバージョンによると、SIPソフトウェアを実行しているリモートのCisco Desk、IP、またはVideo Phone は、クロスサイトスクリプティングの脆弱性の影響を受けます

- Cisco SIP Software を実行する Cisco Desk Phone 9800 Series、Cisco IP Phone 7800 および 8800 Series、および Cisco Video Phone 8875 の Web UI の脆弱性により、認証されていないリモートの攻撃者が、Web UI のユーザーに対して XSS 攻撃を実行する可能性があります。この脆弱性は、影響を受けるデバイスのWeb UIがユーザー指定の入力を十分に検証しないことが原因です。攻撃者がこの脆弱性を悪用して、細工されたリンクをクリックするようユーザーを誘導する可能性があります。悪用に成功すると、攻撃者が、影響を受けるインターフェイスのコンテキストで任意のスクリプトコードを実行したり、ブラウザベースの秘密情報にアクセスしたりする可能性があります。注意: この脆弱性を悪用するには、電話が Cisco Unified Communications Manager に登録され、Web アクセスが有効になっている必要があります。Web Access はデフォルトで無効になっています。
(CVE-2025-20351)

詳細については、付属の Cisco BID および Cisco Security Advisory を参照してください。