思科提醒称，已达生命周期的 Small Business SPA 300和SPA500 系列IP电话中存在多个严重的远程代码执行 (RCE) 0day 漏洞。思科并未发布修复方案和缓解建议，因此用户必须尽快升级至更新的以及受活跃支持的机型。

漏洞详情

思科共发现了五个漏洞，其中三个是严重级别（CVSS v3.1评分9.8）和两个高危漏洞（CVSS v3.1 评分7.5）。这些漏洞的编号是CVE-2024-20450、CVE-2024-20452和CVE-2024-20454。

这些缓冲溢出漏洞可导致未认证的远程攻击者，通过向目标设备发送特殊构造的HTTP 请求，以 root 权限在底层 OS 上执行任意命令。思科在安全通告中提到，“成功利用可导致攻击者溢出一个内部缓冲区并以root权限执行任意命令。”

这两个高危漏洞是CVE-2024-20451和CVE-2024-20453，是由对HTTP数据包上的检查不当导致的，可导致恶意数据包在受影响设备上引发拒绝服务。思科表示，所有这五个漏洞影响在SPA300和SPA500 IP 电话上运行的所有软件发布，不管软件的配置如何，它们之间是独立的，即可遭单独利用。

支持终止

思科支持门户提到，SPA300 的最后一次出售时间是2019年2月，并在三年后终止支持。对于SPA 500而言，思科在2020年6月1日起终止出售。不过值得注意的是，思科仍然为服务合同或特殊保证条件的客户保留2025年5月31日前的SPA500服务，但SPA300自2024年2月29日起就不再受支持。

这两款设备均不会获得安全更新，因此建议用户升级至更新的受支持机型，如Cisco IP Phone 8841或Cisco 600系列设备。思科还提供“技术迁移计划”，允许用户交易符合条件的产品并获得购买新设备的积分。无法确定选择哪种方式的用户可联系思科的技术支持中心。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~