Cisco ได้ออกประกาศเตือนเกี่ยวกับการค้นพบช่องโหว่ Zero-day ชุดใหม่บนอุปกรณ์ IP Phone ที่ได้สิ้นสุดการสนับสนุนแล้ว ช่องโหว่ Zero-day จำนวนห้าตัวถูกค้นพบบนอุปกรณ์ IP Phone รุ่น Small Business SPA 300 และ SPA 500 Series ประกอบด้วย CVE-2024-20450, CVE-2024-20452 และ CVE-2024-20454 ซึ่งเป็นช่องโหว่ประเภท Buffer Overflow ที่มีความรุนแรงตามเกณฑ์ CVSS v.3.1 อยู่ที่ระดับ 9.8/10 ช่องโหว่เหล่านี้ทำให้ผู้โจมตีสามารถรันคำสั่งได้แบบ Remote ในสิทธิระดับ root นอกจากนี้ยังมีช่องโหว่อีกสองตัว คือ CVE-2024-20451 และ CVE-2024-20453 ซึ่งมีความรุนแรงระดับ 7.5 ทำให้สามารถโจมตีแบบ Denial of service ได้ Cisco ยืนยันว่าช่องโหว่ทั้งหมดนี้ส่งผลกระทบต่อซอฟต์แวร์ทุกเวอร์ชัน อย่างไรก็ตาม อุปกรณ์ทั้งสองรุ่นได้เข้าสู่ระยะ End … Continue reading Cisco เตือนพบช่องโหว่ Zero-day บน IP Phone ที่ End-of-life ไปแล้ว