Katalog CVE

CVE-2026-12220

WysokieCVSS 8.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 29 - wyżej niż 29% wszystkich znanych CVE

Streszczenie

W oprogramowaniu telefonu Yealink SIP-T46U w wersji 108.86.0.118 wykryto podatność na przepełnienie bufora stosu. Problem występuje w funkcji mod_upgrade.SparePartsUpload w pliku /api/upgrade/accupgradebychunk, gdzie manipulacja argumentem uid może prowadzić do przepełnienia bufora. Atak wymaga dostępu do sieci lokalnej, a szczegóły exploita zostały ujawnione publicznie.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego wykonania kodu lub destabilizacji urządzenia przez atakującego w sieci lokalnej, co może prowadzić do przejęcia kontroli nad telefonem i potencjalnego naruszenia poufności rozmów.

Rekomendacja

Zaleca się natychmiastowe ograniczenie dostępu do interfejsu zarządzania urządzeniem tylko do zaufanych sieci oraz monitorowanie aktualizacji producenta. Po wydaniu łatki należy niezwłocznie zaktualizować oprogramowanie.

Oryginalny opis (angielski, źródło NVD)

A vulnerability has been found in Yealink SIP-T46U 108.86.0.118. This affects the function mod_upgrade.SparePartsUpload of the file /api/upgrade/accupgradebychunk of the component Firmware Chunk Upload handler. Such manipulation of the argument uid leads to stack-based buffer overflow. The attack can only be initiated within the local network. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure and is working on a patch to fix it.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS