A Cisco lançou um novo aviso de segurança sobre uma falha de alta gravidade que afeta o firmware do Telefone IP 7800 e 8800 Series que pode ser potencialmente explorada por um invasor remoto para causar a execução remota de código ou uma condição de negação de serviço (DoS).

A empresa disse que está trabalhando em um patch para resolver a vulnerabilidade, que é rastreada como CVE-2022-20968 (pontuação CVSS: 8.1) e decorre de um caso de validação de entrada insuficiente de pacotes recebidos do Cisco Discovery Protocol (CDP).

O CDP é um protocolo independente de rede proprietário que é usado para coletar informações relacionadas a dispositivos próximos e diretamente conectados, como hardware, software e nome do dispositivo, entre outros.

Os telefones IP Cisco que executam a versão de firmware 14.2 e anterior são afetados. Um patch está programado para ser lançado em janeiro de 2023, com a empresa afirmando que não há atualizações ou soluções alternativas para remediar o problema.

A cisco está ciente da disponibilidade de uma exploração de prova de conceito (PoC) e que a falha foi divulgada publicamente.