安全公告概述
思科9800系列桌面电话、7800和8800系列IP电话以及8875视频电话在运行思科会话初始化协议(SIP)软件时存在多个漏洞,可能允许未经身份验证的远程攻击者造成拒绝服务(DoS)条件或对Web UI用户进行跨站脚本(XSS)攻击。
重要说明:要利用这些漏洞,电话必须注册到思科统一通信管理器并启用Web访问功能。Web访问功能默认处于禁用状态。
思科已发布修复这些漏洞的软件更新。目前没有可用的临时解决方案。
受影响产品
受影响产品
如果以下思科产品运行易受攻击的思科SIP软件版本,注册到思科统一通信管理器,并启用了Web访问功能,则会受到这些漏洞的影响:
- 9800系列桌面电话
- 7800系列IP电话
- 8800系列IP电话
- 8875视频电话
Web访问功能默认处于禁用状态。
确认不受影响的产品
仅本公告"受影响产品"部分列出的产品已知受这些漏洞影响。思科已确认这些漏洞不影响运行思科多平台固件的思科7800系列或8800系列IP电话。
漏洞详情
拒绝服务漏洞(CVE-2025-20350)
思科9800系列桌面电话、7800和8800系列IP电话以及8875视频电话的Web UI中存在漏洞,可能允许未经身份验证的远程攻击者在受影响设备上造成DoS条件。
此漏洞是由于受影响设备处理HTTP数据包时存在缓冲区溢出。攻击者可通过向设备发送特制的HTTP输入来利用此漏洞。成功利用可能允许攻击者导致设备重新加载,从而造成DoS条件。
漏洞标识:
- Bug ID:CSCwn51601, CSCwn60480等
- CVE ID:CVE-2025-20350
- 安全影响评级:高
- CVSS基础分数:7.5
跨站脚本漏洞(CVE-2025-20351)
思科9800系列桌面电话、7800和8800系列IP电话以及8875视频电话的Web UI中存在漏洞,可能允许未经身份验证的远程攻击者对Web UI用户进行XSS攻击。
此漏洞存在的原因是受影响设备的Web UI未充分验证用户提供的输入。攻击者可通过诱使用户点击特制链接来利用此漏洞。成功利用可能允许攻击者在受影响接口的上下文中执行任意脚本代码或访问基于浏览器的敏感信息。
漏洞标识:
- Bug ID:CSCwn51683, CSCwn58671等
- CVE ID:CVE-2025-20351
- 安全影响评级:中
- CVSS基础分数:6.1
临时解决方案
目前没有直接解决这些漏洞的临时解决方案。但是,禁用Web访问可以缓解这些漏洞。
启用或禁用Web访问的步骤
- 使用管理权限登录电话注册的通信管理器
- 选择"设备" > “电话”
- 在搜索框中输入搜索条件并点击"查找"
- 从"设备名称"列表中选择相应的设备
- 在"Web访问"下,使用切换按钮选择"启用"或"禁用",然后点击"保存"
修复软件
思科建议客户升级到本公告中指示的修复软件版本。
9800系列桌面电话修复版本
| Cisco SIP软件版本 | CVE-2025-20350首个修复版本 | CVE-2025-20351首个修复版本 |
|---|---|---|
| 3 | 3.3(1) | 3.3(1) |
7800和8800系列IP电话修复版本
| Cisco SIP软件版本 | CVE-2025-20350首个修复版本 | CVE-2025-20351首个修复版本 |
|---|---|---|
| 早于14.3 | 迁移到修复版本 | 迁移到修复版本 |
| 14.3 | 14.3(1)SR2 | 迁移到修复版本 |
| 14.4 | 不受影响 | 14.4(1) |
漏洞发现
这些漏洞由思科高级安全计划组(ASIG)的Kent Yoder在内部安全测试期间发现。
思科PSIRT不知悉有任何关于这些漏洞的公开公告或恶意利用。