A Cisco emitiu um alerta sobre múltiplas vulnerabilidades críticas de execução remota de código (RCE) em telefones IP das séries Small Business SPA 300 e SPA 500, que já chegaram ao fim de sua vida útil (EOL). A empresa não fornecerá correções para esses dispositivos e não ofereceu dicas de mitigação, o que significa que os usuários devem migrar para modelos mais novos e suportados o quanto antes. A Cisco divulgou cinco falhas, três delas classificadas como críticas e duas categorizadas como de alta severidade.

As falhas críticas permitem que um invasor remoto e não autenticado execute comandos arbitrários no sistema operacional subjacente com privilégios de root, enviando uma solicitação HTTP especialmente criada para o dispositivo alvo. As duas falhas de alta severidade são causadas por verificações inadequadas em pacotes HTTP, permitindo que pacotes maliciosos causem uma negação de serviço no dispositivo afetado.

Nenhum dos dispositivos receberá uma atualização de segurança, portanto, os usuários são aconselhados a migrar para modelos mais novos e suportados, como o Cisco IP Phone 8841 ou um modelo da série Cisco 6800. A Cisco também oferece um Programa de Migração de Tecnologia (TMP), que permite aos clientes trocar produtos elegíveis e receber crédito para novos equipamentos.