CVE-2009-1048

The web interface on the snom VoIP phones snom 300, snom 320, snom 360, snom 370, and snom 820 with firmware 6.5 before 6.5.20, 7.1 before 7.1.39, and 7.3 before 7.3.14 allows remote attackers to bypass authentication, and reconfigure the phone or make arbitrary use of the phone, via a (1) http or (2) https request with 127.0.0.1 in the Host header.

Weakness

When an actor claims to have a given identity, the software does not prove or insufficiently proves that the claim is correct.

Affected Software

Name	Vendor	Start Version	End Version
Snom_300	Snom	6.5.2	6.5.2
Snom_300	Snom	6.5.8	6.5.8
Snom_300	Snom	6.5.13	6.5.13
Snom_300	Snom	6.5.15	6.5.15
Snom_300	Snom	6.5.16	6.5.16
Snom_300	Snom	6.5.17	6.5.17
Snom_300	Snom	7.1.30	7.1.30
Snom_300	Snom	7.1.33	7.1.33
Snom_300	Snom	7.1.35	7.1.35
Snom_300	Snom	7.3.4	7.3.4
Snom_300	Snom	7.3.7	7.3.7
Snom_300	Snom	7.3.10a	7.3.10a
Snom_320	Snom	6.5.2	6.5.2
Snom_320	Snom	6.5.8	6.5.8
Snom_320	Snom	6.5.13	6.5.13
Snom_320	Snom	6.5.16	6.5.16
Snom_320	Snom	6.5.17	6.5.17
Snom_320	Snom	7.1.30	7.1.30
Snom_320	Snom	7.1.33	7.1.33
Snom_320	Snom	7.1.35	7.1.35
Snom_320	Snom	7.3.4	7.3.4
Snom_320	Snom	7.3.7	7.3.7
Snom_360	Snom	6.5.2	6.5.2
Snom_360	Snom	6.5.8	6.5.8
Snom_360	Snom	6.5.13	6.5.13
Snom_360	Snom	6.5.15	6.5.15
Snom_360	Snom	6.5.16	6.5.16
Snom_360	Snom	6.5.17	6.5.17
Snom_360	Snom	7.1.30	7.1.30
Snom_360	Snom	7.1.33	7.1.33
Snom_360	Snom	7.1.35	7.1.35
Snom_360	Snom	7.3.4	7.3.4
Snom_360	Snom	7.3.7	7.3.7
Snom_360	Snom	7.3.10a	7.3.10a
Snom_370	Snom	7.1.30	7.1.30
Snom_370	Snom	7.1.33	7.1.33
Snom_370	Snom	7.1.35	7.1.35
Snom_370	Snom	7.3.4	7.3.4
Snom_370	Snom	7.3.7	7.3.7
Snom_370	Snom	7.3.10a	7.3.10a

NVD	https://nvd.nist.gov/vuln/detail/CVE-2009-1048
CWE	https://cwe.mitre.org/data/definitions/287.html

Improper Authentication

Weakness

Affected Software

Potential Mitigations

References

CVE-2009-1048

Improper Authentication

Weakness

Affected Software

Potential Mitigations

Related Attack Patterns

References