このウェブページのスクリーンショットから、脆弱性に関する以下の重要な情報を取得できます。 1. 脆弱性の種類: - SPA300シリーズおよびSPA500シリーズIP電話Web UIの脆弱性: これらの脆弱性は、Cisco Small Business SPA300シリーズおよびSPA500シリーズIP電話のWeb UIに存在します。 2. 脆弱性の深刻度: - Critical (重大): これらの脆弱性は「Critical」として分類されており、システムセキュリティに重大な脅威をもたらすことを示しています。 3. 脆弱性の説明: - SPA300シリーズおよびSPA500シリーズIP電話Web UIの任意コマンド実行脆弱性: これらの脆弱性により、攻撃者は認証なしで任意のコマンドを実行でき、結果として基盤となるオペレーティングシステムのroot権限を取得します。 - SPA300シリーズおよびSPA500シリーズIP電話Web UIのDoS脆弱性: これらの脆弱性により、攻撃者は構成されたHTTPリクエストを送信して影響を受けたデバイスを再起動させ、サービス停止を引き起こすことができます。 4. 影響を受ける製品: - SPA300シリーズおよびSPA500シリーズIP電話: これらの脆弱性は、設定に関係なく、SPA300シリーズおよびSPA500シリーズIP電話上で動作するすべてのソフトウェアバージョンに影響を与えます。 5. 脆弱性の詳細: - SPA300シリーズおよびSPA500シリーズIP電話Web UIの任意コマンド実行脆弱性: これらの脆弱性は、HTTPパケットのエラーチェックが正しく行われていないことに起因するバッファオーバーフローが原因です。攻撃者は構成されたHTTPリクエストを送信してこれらの脆弱性を悪用できます。 - SPA300シリーズおよびSPA500シリーズIP電話Web UIのDoS脆弱性: これらの脆弱性もまた、HTTPパケットのエラーチェックが正しく行われていないことに起因するバッファオーバーフローが原因です。攻撃者は構成されたHTTPリクエストを送信してこれらの脆弱性を悪用し、サービス停止を引き起こすことができます。 6. 解決策: - Cisco IP Phones SPA300シリーズ選択モデルのライフサイクル終了およびライフサイクル終了公告: Ciscoはこれらの製品のライフサイクル終了を発表し、相应的な公告を提供しています。 - Cisco Small Business SPA303シリーズIP電話のライフサイクル終了およびライフサイクル終了公告: Ciscoはまた、SPA303シリーズIP電話のライフサイクル終了公告も提供しています。 - すべての残存Cisco Small Business SPA500シリーズIP電話のライフサイクル終了およびライフサイクル終了公告: Ciscoはまた、SPA500シリーズIP電話のライフサイクル終了公告も提供しています。 7. ソース: - BAE Systems Digital IntelligenceのAidan: これらの脆弱性は、BAE Systems Digital IntelligenceのAidanによって報告されました。 8. URL: - https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-spa-http-vulns-RJZmX2Xz: これは脆弱性の詳細情報のページへのURLです。 これらの情報は、ユーザーが脆弱性の深刻度、影響を受ける製品、脆弱性の詳細、および可能な解決策を理解するのに役立ちます。