Cisco Desk Phone 9800 Series, IP Phone 7800 and 8800 Series, and Video Phone 8875 with SIP Firmware Cross-Site Scripting Vulnerability 漏洞信息(CVE-2025-20351)

一、漏洞 CVE-2025-20351 基础信息

漏洞信息

                                        # 思科电话SIP跨站脚本漏洞

## 概述

Cisco Desk Phone 9800 系列、Cisco IP Phone 7800 和 8800 系列，以及运行 Cisco SIP 软件的 Cisco Video Phone 8875 设备的 Web 用户界面中存在一个跨站脚本（XSS）漏洞。攻击者可利用该漏洞在未认证的情况下对 Web UI 用户发起攻击。

## 影响版本

- Cisco Desk Phone 9800 系列
- Cisco IP Phone 7800 系列
- Cisco IP Phone 8800 系列
- Cisco Video Phone 8875  
  （运行 Cisco SIP 软件）

## 漏洞细节

该漏洞是由于受影响设备的 Web 用户界面未正确验证用户输入内容。攻击者可通过诱使用户点击构造的恶意链接来利用此漏洞。

## 影响

成功利用该漏洞后，攻击者可在受影响界面的上下文中执行任意脚本代码，或窃取敏感的浏览器信息。  
**注意**：要成功发起攻击，电话必须已注册到 Cisco Unified Communications Manager，并且启用 Web Access（该功能默认处于禁用状态）。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Cisco Desk Phone 9800 Series, IP Phone 7800 and 8800 Series, and Video Phone 8875 with SIP Firmware Cross-Site Scripting Vulnerability

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A vulnerability in the web UI of Cisco Desk Phone 9800 Series, Cisco IP Phone 7800 and 8800 Series, and Cisco Video Phone 8875 running Cisco SIP Software could allow an unauthenticated, remote attacker to conduct XSS attacks against a user of the web UI. This vulnerability exists because the web UI of an affected device does not sufficiently validate user-supplied input. An attacker could exploit this vulnerability by persuading a user to click a crafted link. A successful exploit could allow the attacker to execute arbitrary script code in the context of the affected interface or access sensitive, browser-based information. Note: To exploit this vulnerability, the phone must be registered to Cisco Unified Communications Manager and have Web Access enabled. Web Access is disabled by default.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：美国国家漏洞数据库 NVD

漏洞标题

Cisco SIP Software 跨站脚本漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Cisco SIP Software是美国思科（Cisco）公司的一个SIP协议软件系统。 Cisco SIP Software存在跨站脚本漏洞，该漏洞源于web UI未充分验证用户输入，可能导致跨站脚本攻击。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

跨站脚本

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-20351 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-20351 的情报信息

标题： Cisco Desk Phone 9800 Series, IP Phone 7800 and 8800 Series, and Video Phone 8875 with SIP Software Vulnerabilities -- 🔗来源链接

标签：
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2025-20351

四、漏洞 CVE-2025-20351 的评论

暂无评论

一、 漏洞 CVE-2025-20351 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-20351 的公开POC

三、漏洞 CVE-2025-20351 的情报信息

四、漏洞 CVE-2025-20351 的评论

发表评论

一、漏洞 CVE-2025-20351 基础信息