一、 漏洞 CVE-2024-20534 基础信息
漏洞标题
思科多平台固件IP电话中存在的存储型跨站脚本漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在思科Desk Phone 9800系列、思科IP Phone 6800、7800和8800系列以及思科Video Phone 8875(使用思科多平台固件)的Web用户界面中存在一个漏洞,该漏洞可能允许经过身份验证的远程攻击者对用户执行存储的跨站脚本(XSS)攻击。 此漏洞存在是因为受影响设备的Web用户界面没有正确验证用户提供的输入。攻击者可以通过将恶意代码注入接口的特定页面来利用此漏洞。成功利用此漏洞可能使攻击者在受影响的界面上下文中执行任意脚本代码或访问敏感的基于浏览器的信息。 注意:要利用此漏洞,电话上的Web访问必须启用,并且攻击者必须拥有设备上的管理员凭据。默认情况下,Web访问是禁用的。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Cisco IP Phone 6800, 7800, 8800, and 9800 Series with Multiplatform Firmware Stored Cross-Site Scripting Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the web UI of Cisco Desk Phone 9800 Series, Cisco IP Phone 6800, 7800, and 8800 Series, and Cisco Video Phone 8875 with Cisco Multiplatform Firmware could allow an authenticated, remote attacker to conduct stored cross-site scripting (XSS) attacks against users. This vulnerability exists because the web UI of an affected device does not properly validate user-supplied input. An attacker could exploit this vulnerability by injecting malicious code into specific pages of the interface. A successful exploit could allow the attacker to execute arbitrary script code in the context of the affected interface or access sensitive, browser-based information. Note: To exploit this vulnerability, Web Access must be enabled on the phone and the attacker must have Admin credentials on the device. Web Access is disabled by default.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Cisco IP Phone 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Cisco IP Phone是美国思科(Cisco)公司的一个硬件设备。提供通话功能的IP电话。 Cisco IP Phone存在安全漏洞,该漏洞源于受影响设备的WebUI未正确验证用户提供的输入。经过身份验证的远程攻击者对用户发起存储型跨站脚本(XSS)攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-20534 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-20534 的情报信息