思科上周披露，某些专为小企业设计的IP电话存在远程窃听漏洞，并可被攻击利用拨打电话。该漏洞（CVE-2015-0670）影响思科SPA300及SPA500系列IP电话的7.5.5版本，最新版也可能受影响。

按照官方通告，该漏洞由软件中默认配置中不正确的认证设置引起。一个未经认证的远程攻击者可以通过给目标IP电话发送恶意构造的XML请求来利用这个漏洞。

成功利用此漏洞可以窃听设备上的音频流以获得敏感信息，还可以远程使用目标设备拨打电话。但利用这个漏洞需要攻击者访问到受信任的内部网络，因此一定程度上降低了漏洞利用的可能性。

思科官方已经确认此漏洞，但尚未发布更新。因为，思科认为这个中等严重级别的漏洞不大可能被利用。

在更新发布前，建议管理员在受影响的设备设置菜单中开启XML执行认证，并限制网络访问，只允许可信用户。

本月初，思科宣布可在思科的入侵检测、远程监控视频通信服务器，及高速通道等产品中进行安全更新。