Yealink VoIP Phones‘/servlet’ CRLF注入漏洞

漏洞信息详情

Yealink VoIP Phones‘/servlet’ CRLF注入漏洞

• CNNVD编号：CNNVD-201406-642
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-3427
  
• 漏洞类型：
  
  
  其他
  
• 发布时间：
  
  2014-06-30
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-07-17
  
• 厂        商：
  
  yealink
• 漏洞来源：
  Jesus Oquendo

Yealink VoIP Phones是中国亿联（YeaLink）公司的IP话机产品。该产品支持来电人头像显示、通话录音和匿名呼叫等。

使用28.72.0.2版本固件的Yealink VoIP Phones中存在CRLF注入漏洞。远程攻击者可借助servlet的‘model’参数利用该漏洞注入任意HTTP头，并实施HTTP响应拆分攻击。

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：

http://www.yealink.com/

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2014/Jun/74

来源:BUGTRAQ

链接:http://www.securityfocus.com/archive/1/archive/1/532410/100/0/threaded

来源: BID

链接:http://www.securityfocus.com/bid/68022