思科稱在其一些針對中小企業的IP電話中存在漏洞，這可能導致用戶被竊聽。目前思科還沒有發布修復程序，但提供了緩解技術。

[[130572]]

在思科兩套不同的IP電話中發現存在漏洞，該供應商稱這個漏洞可能允許攻擊者遠程竊聽電話通話。

思科已經證實在其Small Business SPA 300和500系列IP電話的固件中存在漏洞(CVE-2015-0670)，這個漏洞影響著7.5.5版本手機，但也可能會影響以后的版本。

根據思科公告顯示，該漏洞的出現是由于默認配置中不當的身份驗證設置，并可能通過發送特制的XML請求到受影響設備而被利用。

如果這種漏洞利用成功了，攻擊者可以竊聽通話，遠程啟動電話，或執行進一步攻擊。

然而，思科淡化了這個漏洞，稱它不太可能被利用，并指出這種成功的漏洞利用可能被緩解，因為在發送特制XML請求之前，攻擊者還需要攻入可信內部網絡的防火墻。

思科還沒有向受影響設備發布軟件更新，也沒有給出時間表。但思科建議部署暫時緩解技術，例如禁用受影響設備的設置中的XML執行身份驗證，并考慮使用基于IP的訪問控制列表(ACL)，該列表只會允許可信系統連接到受影響設備。