Informazioni sul CVE-2025-20158
Cisco Video Phone 8875 and Desk Phone 9800 Series Information Disclosure Vulnerability
CWE ID: CWE-200
Base Score (CVSS): N/A
CVE: CVE-2025-20158
Descrizione: Una vulnerabilità nel shell di debug del Cisco Video Phone 8875 e del Cisco Desk Phone 9800 Series potrebbe consentire a un attaccante autenticato e locale di accedere a informazioni sensibili su un dispositivo compromesso. Per sfruttare questa vulnerabilità, l’attaccante deve avere credenziali di amministrazione valide con accesso SSH sul dispositivo compromesso. L’accesso SSH è disabilitato per impostazione predefinita. Questa vulnerabilità è dovuta a una convalida insufficiente dell’input fornito dal shell di debug di un dispositivo compromesso. Un attaccante potrebbe sfruttare questa vulnerabilità inviando un comando SSH personalizzato al CLI. Un exploit riuscito potrebbe consentire all’attaccante di accedere a informazioni sensibili sul sistema operativo sottostante.
Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: High, Interazione utente: None, Confidenzialità: High, Integrità: None, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | H | High | Richiede privilegi elevati. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
Prodotti interessati
- Cisco – Cisco Session Initiation Protocol (SIP) Software
Relazioni con altri prodotti
Produttore:Cisco
Prodotto: Cisco Session Initiation Protocol (SIP) Software
Anno: 2025
CWE: CWE-200
CVSS: 0.0