漏洞信息详情
Yealink VoIP Phones‘/servlet’ CRLF注入漏洞
- CNNVD编号:CNNVD-201406-642
- 危害等级: 中危
- CVE编号: CVE-2014-3427
- 漏洞类型: 其他
- 发布时间: 2014-06-30
- 威胁类型: 远程
- 更新时间: 2014-07-17
- 厂 商: yealink
- 漏洞来源: Jesus Oquendo
漏洞简介
Yealink VoIP Phones是中国亿联(YeaLink)公司的IP话机产品。该产品支持来电人头像显示、通话录音和匿名呼叫等。
使用28.72.0.2版本固件的Yealink VoIP Phones中存在CRLF注入漏洞。远程攻击者可借助servlet的‘model’参数利用该漏洞注入任意HTTP头,并实施HTTP响应拆分攻击。
漏洞公告
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
http://www.yealink.com/
参考网址
来源:FULLDISC
链接:http://seclists.org/fulldisclosure/2014/Jun/74
来源:BUGTRAQ
链接:http://www.securityfocus.com/archive/1/archive/1/532410/100/0/threaded
来源: BID
链接:http://www.securityfocus.com/bid/68022
受影响实体
- Yealink Voip_phone_firmware:28.72.0.2
补丁
暂无
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论