从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞类型: - SPA300 Series and SPA500 Series IP Phones Web UI Vulnerabilities:这些漏洞存在于Cisco Small Business SPA300 Series和SPA500 Series IP电话的Web UI中。 2. 漏洞严重性: - Critical:这些漏洞被标记为“Critical”,表明它们对系统安全构成严重威胁。 3. 漏洞描述: - SPA300 Series and SPA500 Series IP Phones Web UI Arbitrary Command Execution Vulnerability:这些漏洞允许攻击者在不受身份验证的情况下执行任意命令,从而获得对底层操作系统的root权限。 - SPA300 Series and SPA500 Series IP Phones Web UI DoS Vulnerability:这些漏洞允许攻击者通过发送构造的HTTP请求导致受影响设备重新加载,从而造成服务中断。 4. 受影响产品: - SPA300 Series and SPA500 Series IP Phones:这些漏洞影响所有运行在SPA300 Series和SPA500 Series IP电话上的软件版本,无论配置如何。 5. 漏洞细节: - SPA300 Series and SPA500 Series IP Phones Web UI Arbitrary Command Execution Vulnerability:这些漏洞是因为HTTP包没有正确检查错误,导致缓冲区溢出。攻击者可以通过发送构造的HTTP请求来利用这些漏洞。 - SPA300 Series and SPA500 Series IP Phones Web UI DoS Vulnerability:这些漏洞也是因为HTTP包没有正确检查错误,导致缓冲区溢出。攻击者可以通过发送构造的HTTP请求来利用这些漏洞,从而导致服务中断。 6. 解决方案: - End-of-Life and End-of-Life Announcement for the Cisco IP Phones SPA300 Series Selected Models:Cisco已经宣布了这些产品的生命周期结束,并提供了相应的公告。 - End-of-Life and End-of-Life Announcement for the Cisco Small Business SPA303 Series IP Phone:Cisco还提供了SPA303 Series IP电话的生命周期结束公告。 - End-of-Life and End-of-Life Announcement for All Remaining Cisco Small Business SPA500 Series IP Phones:Cisco还提供了SPA500 Series IP电话的生命周期结束公告。 7. 来源: - Aidan of BAE Systems Digital Intelligence:这些漏洞是由BAE Systems Digital Intelligence的Aidan报告的。 8. URL: - https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-spa-http-vulns-RJZmX2Xz:这是漏洞的详细信息页面的URL。 这些信息可以帮助用户了解漏洞的严重性、受影响的产品、漏洞的细节以及可能的解决方案。