思科本周发布安全公告，IP电话机系列软件出现多项漏洞，包含3项可执行任意指令的重大漏洞，影响二款没有修补程序的旧IP电话产品，思科鼓励用户升级。

这次修补的漏洞有5项，影响思科Cisco Small Business SPA300 Series和SPA500 Series IP电话机上的Web管理介面（UI）软件。二款产品皆为适用中小企业的IP电话机。其中三项特别值得注意，编号分别为CVE-2024-20450、CVE-2024-20452和CVE-2024-20454，属于风险值9.8的任意指令执行漏洞。这三项漏洞可让未经验证的远端攻击者在话机上的OS以root权限执行任意指令。

这些漏洞发生未能对输入的HTTP封包适切检查错误。攻击者可传送恶意HTTP呼叫到目标装置来滥用漏洞。成功的滥用即可引发内部缓冲溢位，并以根（root）权限执行任意指令。

另外二项漏洞，包括2024-20451与CVE-2024-20453，为影响Web管理介面的阻断服务（DoS）漏洞。漏洞出于管理介面未能检查HTTP封包错误，使攻击者得以传送恶意HTTP封包到二款话机的Web UI以滥用漏洞。成功的滥用可让攻击者引发不预期受害装置重覆载入，导致DoS情境。二项漏洞风险值皆为7.5。

思科警告，漏洞没有迴避方法，但业者也未发布软件更新。思科解释，这是因为产品已经来到生命周期终点（Endo of Lifecycle,EoL），因此鼓励用户升级成更新一代产品。

思科旗下产品安全事件回应团队目前尚未接获有任何漏洞滥用的通报。