Cisco Systemsは5月3日(米国時間)、「Cisco SPA112 2-Port Phone Adapters Remote Command Execution Vulnerability」において、「Cisco SPA112 2ポート電話アダプタ」にリモートコード実行(RCE: Remote Code Execution)の脆弱性が存在すると伝えた。
CVE-2023-20126として特定されているこの脆弱性は、Cisco SPA112 2 ポート電話アダプタのWebベース管理インタフェースに存在する脆弱性で、ファームウェアのアップグレード機能において認証プロセスが欠如していることが原因とされている。サイバー攻撃者はこの脆弱性を悪用して細工したファームウェアへアップグレードすることができ、完全な権限で任意のコードが実行できるリスクがあるとされている。
脆弱性の深刻度は、共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)のスコア値で9.8と評価されており、緊急(Critical)の脆弱性と分析されている。しかし、この製品はすでにサポートが終了しており、ファームウェアのアップデートは提供されておらず、今後も提供される予定はないとされている。また、この脆弱性を回避する方法も提供も行われていない。
CVE-2023-20126はCisco SPA112 2 ポート電話アダプタのすべてのファームウェアに影響するとされており注意が必要。シスコは「Cisco ATA 190シリーズアナログ電話アダプタ」へ移行することを推奨している。