思科 IP 電話韌體爆漏洞，明年1月才能修復

2022 / 12 / 12

編輯部

思科發布新安全警告，警告影響 IP 電話 7800 和 8800 系列韌體的嚴重缺陷可能被未經身份驗證的攻擊者利用，可導致遠端程式碼執行或拒絕服務 (DoS)。

思科表示正在修補該漏洞，編號為CVE-2022-20968（CVSS 評分：8.1），源於CDP協議數據包的輸入驗證不充分的缺陷。CDP 是一種專有通訊協議，用於收集與附近直接連接的設備相關訊息，例如硬體、軟體和設備名稱等，IP 電話 7800 和 8800 系列將CDP協議預設為啟用。

運行韌體版本 14.2 及更早版本的 Cisco IP 電話受到影響。修補計劃於 2023 年 1 月發布，該公司表示沒有更新或解決方法來修復該問題。

思科警告，CVE-2022-20968的概念驗證 (PoC) 已確認，並且已被公開披露。目前沒有證據表明該漏洞已被廣氾濫用。

本文轉載自thehackernews.com。

IP電話韌體安全 CVE-2022-20968