Организация Cisco официально доказала содержание уязвимости в собственных IP-телефонах серий SPA 300 и 500 Серии, направленных на сектор большого бизнеса. Как подчеркивается в извещении «Cisco Small Business SPA300 and SPA500 Серии IP Phones Unauthenticated Remote Dial Vulnerability», слабость в «прошивке» механизмов даёт вероятность бравённому злодею без прохождения аутентификации присоединиться к голосовому сгустку и внимать дискуссии.
Брешь в безопасности сопряжена с неразумными опциями, написанными в конфигурации изначально. Злодей может осуществить атаку, послав на ранимый IP-телефон особым стилем развернутый XML-запрос. Слабость доказана для модификаций с прошивкой версии 7.5.5. Однако Cisco не исключает содержание «дыры» и в не менее ранних модификациях.
Невзирая на серьёзные результаты вероятной атаки, уязвимости предписан низкий рейтинг. Все дело в том, что для её реализации злодей обязан иметь доступ к уполномоченным внешним сетям, располагающимся сзади брандмауера. Все-таки, Cisco пока ещё не произвела аналогичного обновления.