Cisco advirtió sobre una falla de seguridad crítica en los adaptadores telefónicos de 2 puertos SPA112 que, según dijo, podría ser explotada por un atacante remoto para ejecutar código arbitrario en los dispositivos afectados.
El problema, rastreado como CVE-2023-20126, tiene una puntuación de 9,8 sobre un máximo de 10 en el sistema de puntuación CVSS. La compañía le dio crédito a Catalpa de DBappSecurity por informar sobre la deficiencia.
El producto en cuestion hace posible conectar teléfonos analógicos y máquinas de fax a un proveedor de servicios de VoIP sin necesidad de una actualización.
“Esta vulnerabilidad se debe a la falta de un proceso de autenticación dentro de la función de actualización del firmware”, dijo la empresa. dicho en un boletín.
“Un atacante podría explotar esta vulnerabilidad actualizando un dispositivo afectado a una versión modificada del firmware. Una explotación exitosa podría permitir que el atacante ejecute código arbitrario en el dispositivo afectado con todos los privilegios”.
A pesar de la gravedad de la falla, el fabricante de equipos de red dijo que no tiene la intención de publicar correcciones debido a que los dispositivos han llegado al final de su vida útil (EoL) a partir del 1 de junio de 2020.
En cambio, recomienda que los usuarios migren a un adaptador de teléfono analógico de la serie Cisco ATA 190, que está configurado para recibir su última actualización el 31 de marzo de 2024. No hay evidencia de que la falla haya sido explotada maliciosamente en la naturaleza.