Un expert de l’entrepreneur britannique en défense BAE a découvert trois failles critiques dans les téléphones IP Small Business SPA300 et SPA500 de Cisco – ainsi que quelques autres méchancetés – aucune desquelles ne sera corrigée ou atténuée. Dans un avis publié mercredi, Cisco a expliqué les trois failles les plus sérieuses – toutes notées CVSS 9,8 sur 10 – affectent l’interface de gestion basée sur le web des appareils et pourraient permettre à un attaquant distant non authentifié d’obtenir des privilèges root pour prendre le contrôle et intervenir sur l’équipement. Les trois pires vulnérabilités – CVE-2024-20450, CVE-2024-20452 et CVE-2024-20454 – découlent du fait que le logiciel ne gère pas de manière suffisamment sécurisée les requêtes HTTP entrantes. Un attaquant pourrait donc envoyer une requête HTTP forgée à l’un des téléphones, provoquant un dépassement de mémoire tampon et permettant l’exécution de commandes arbitraires – avec lesdits privilèges root susmentionnés. Les deux autres failles – CVE-2024-20451 et CVE-2024-20453 – sont moins graves et n’obtiennent qu’une note CVSS de 7,8 grâce à leur portée limitée. Cisco rapporte qu’elles sont également liées à des problèmes dans les mécanismes de vérification HTTP, mais ne permettent pas l’exécution de code. Elles offrent cependant la possibilité de mettre hors service les téléphones avec une attaque de déni de service. « Cisco n’a pas publié et ne publiera pas de mises à jour logicielles pour résoudre les vulnérabilités décrites dans cet avis », a écrit Switchzilla dans son alerte. « Les téléphones IP de la gamme Cisco Small Business SPA300 Series et les téléphones IP de la gamme Cisco Small Business SPA500 Series sont entrés dans le processus de fin de vie. »
« Les livres de Penguin Random House disent maintenant explicitement ‘non’ à la formation IA »
‘Écrit par Emma Roth, dont le portfolio couvre aussi bien les percées technologiques grand public, les dynamiques de l’industrie du