Vulnerabilidades de severidad alta en Teléfonos Cisco IP y Video

Fecha de publicación: 

Resumen ejecutivo

Cisco ha identificado vulnerabilidades en sus dispositivos de telefonía, específicamente en la Cisco Desk Phone 9800 Series y las líneas IP Phone 7800 y 8800, así como el Video Phone 8875. La CVE-2025-20350, con una puntuación CVSS de 7.5, permite a un atacante remoto no autenticado causar una condición de Denegación de Servicio (DoS) mediante un desbordamiento de búfer al procesar paquetes HTTP, impactando la disponibilidad del dispositivo. Además, la CVE-2025-20351, con un CVSS de 6.1, habilita ataques de Cross-Site Scripting (XSS) que podrían permitir el acceso a información sensible o la ejecución de código arbitrario en el navegador del usuario. Ambas vulnerabilidades requieren atención inmediata, especialmente la primera, dado su potencial para interrumpir operaciones. Se recomienda aplicar las correcciones lo antes posible para mitigar estos riesgos.

Recursos afectados

  • Cisco Desk Phone 9800 Series (Cisco SIP Software 3.3(1))
  • Cisco IP Phone 7800 Series (versiones anteriores a 14.3 y 14.3 (14.3(1)SR2))
  • Cisco IP Phone 8800 Series (versiones anteriores a 14.3 y 14.3 (14.3(1)SR2))
  • Cisco Video Phone 8875 (Cisco SIP Software 2.3(1)SR1 y anteriores, 3 (3.3(1)))
  • Cisco IP Phone 8821 (versiones anteriores a 11 y 11 (11.0(6)SR7))

Análisis técnico

  • CVE-2025-20350: Una vulnerabilidad en la interfaz web de Cisco Desk Phone 9800 Series, Cisco IP Phone 7800 y 8800 Series, y Cisco Video Phone 8875 puede permitir que un atacante remoto no autenticado cause una condición de DoS en el dispositivo afectado. Esto se debe a un desbordamiento de búfer al procesar paquetes HTTP. Para explotar esta vulnerabilidad, el teléfono debe estar registrado en Cisco Unified Communications Manager y tener habilitado el acceso web, que está desactivado por defecto.
    • CWE-121
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-20351: Una vulnerabilidad en la interfaz web de Cisco Desk Phone 9800 Series, Cisco IP Phone 7800 y 8800 Series, y Cisco Video Phone 8875 permite a un atacante remoto no autenticado realizar ataques XSS. Esto podría permitir al atacante ejecutar código arbitrario o acceder a información sensible del navegador. Para explotar esta vulnerabilidad, el teléfono debe estar registrado en Cisco Unified Communications Manager y tener habilitado el acceso web, el cual está desactivado por defecto.
    • CWE-79
    • CVSS: 6.1 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
    • Explotación: No detectada

Mitigación / Solución

Para mitigar o solucionar las vulnerabilidades de seguridad en la serie de teléfonos de Cisco, se recomienda realizar lo siguiente: Primero, verifique si el acceso web está habilitado en el teléfono. Si está habilitado, se recomienda desactivarlo, lo cual se puede hacer iniciando sesión en Cisco Unified Communications Manager con privilegios administrativos, eligiendo el dispositivo y ajustando la configuración de acceso web. Además, Cisco ha lanzado actualizaciones de software que resuelven estas vulnerabilidades; se aconseja realizar la migración a un lanzamiento de software fijo según las versiones listadas en la sección de software fijo de la asesoría. No hay soluciones intermedias disponibles que mitiguen estas vulnerabilidades de manera efectiva.

Referencias adicionales

    Compartir