NVD脆弱性詳細

CVE-2024-20534

概要	A vulnerability in the web UI of Cisco Desk Phone 9800 Series, Cisco IP Phone 6800, 7800, and 8800 Series, and Cisco Video Phone 8875 with Cisco Multiplatform Firmware could allow an authenticated, remote attacker to conduct stored cross-site scripting (XSS) attacks against users. This vulnerability exists because the web UI of an affected device does not properly validate user-supplied input. An attacker could exploit this vulnerability by injecting malicious code into specific pages of the interface. A successful exploit could allow the attacker to execute arbitrary script code in the context of the affected interface or access sensitive, browser-based information. Note: To exploit this vulnerability, Web Access must be enabled on the phone and the attacker must have Admin credentials on the device. Web Access is disabled by default.
公表日	2024年11月7日2:15
登録日	2024年11月7日5:00
最終更新日	2024年11月7日3:17

関連情報、対策とツール

No	URL	refsource	タグ
1	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mpp-xss-8tAV2TvF

共通脆弱性一覧

JVN脆弱性情報

シスコシステムズのDesk Phone 9841 With Multiplatform Firmware等の複数製品におけるクロスサイトスクリプティングの脆弱性

タイトル	シスコシステムズのDesk Phone 9841 With Multiplatform Firmware等の複数製品におけるクロスサイトスクリプティングの脆弱性
概要	Cisco Desk Phone 9800シリーズ、Cisco IP Phone 6800、7800、8800シリーズおよびCisco Video Phone 8875（Cisco Multiplatform Firmware搭載）のWeb UIには、認証済みリモート攻撃者が保存型クロスサイトスクリプティング（XSS）攻撃を実行できる脆弱性が存在します。この脆弱性は、ユーザー入力の検証が不十分であることに起因し、攻撃者が悪意のあるコードを特定のページへ注入できる可能性があります。その結果、任意のスクリプトが実行されたり、機密情報へアクセスされたりする恐れがあります。この問題を悪用するためには、Webアクセスが有効であり、攻撃者が管理者権限を持っている必要があります。
想定される影響	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2024年11月6日0:00
登録日	2026年1月7日18:24
最終更新日	2026年1月7日18:24

影響を受けるシステム

シスコシステムズ

Cisco IP Conference Phone 7811 with Multiplatform ファームウェア 12.0\(5\)

Cisco IP Phone 8811 with Multiplatform ファームウェア 12.0\(5\)

Cisco IP Phone 8841 with Multiplatform ファームウェア 12.0\(5\)

Cisco IP Phone 8845 with Multiplatform ファームウェア 12.0\(5\)

Cisco IP Phone 8851 with Multiplatform ファームウェア 12.0\(5\)

Desk Phone 9841 With Multiplatform Firmware 3.1\(1\)

Desk Phone 9851 With Multiplatform Firmware 3.1\(1\)

Desk Phone 9861 With Multiplatform Firmware 3.1\(1\)

Desk Phone 9871 With Multiplatform Firmware 3.1\(1\)

ip phone 6821 with multiplatform ファームウェア 12.0\(5\)

ip phone 6841 with multiplatform ファームウェア 12.0\(5\)

ip phone 6851 with multiplatform ファームウェア 12.0\(5\)

ip phone 6861 with multiplatform ファームウェア 12.0\(5\)

ip phone 6871 with multiplatform ファームウェア 12.0\(5\)

ip phone 7821 with multiplatform ファームウェア 12.0\(5\)

Ip Phone 7832 With Multiplatform Firmware 12.0\(5\)

Ip Phone 7841 With Multiplatform Firmware 12.0\(5\)

Ip Phone 7861 With Multiplatform Firmware 12.0\(5\)

Ip Phone 8831 With Multiplatform Firmware

Ip Phone 8832 With Multiplatform Firmware 12.0\(5\)

Ip Phone 8861 With Multiplatform Firmware 12.0\(5\)

Ip Phone 8865 With Multiplatform Firmware 12.0\(5\)

Video Phone 8875 With Multiplatform Firmware 2.3\(1\)

Video Phone 8875 With Multiplatform Firmware 2.3\(1\) 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-20534	https://www.cve.org/CVERecord?id=CVE-2024-20534
National Vulnerability Database (NVD)
2	CVE-2024-20534	https://nvd.nist.gov/vuln/detail/CVE-2024-20534

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
Cisco Security Advisory
1	Cisco 6800, 7800, 8800, and 9800 Series Phones with Multiplatform Firmware Stored Cross-Site Scripting Vulnerabilities	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mpp-xss-8tAV2TvF

変更履歴

No	変更内容	変更日
1	[2026年01月07日] 掲載	2026年1月7日18:24