思科最近在其出售的部分IP电话系统固件当中发现了漏洞，都有可能招致攻击者窃听通话。思科表示，其SPA300和SPA500系列IP小企业电话系统固件当中包含漏洞，在默认配置下会产生不正确的身份验证。思科最近警告说，攻击者可以通过发送特制的XML请求到受影响的设备漏洞。截至发稿，思科表示，它知道7.5.5版本系统当中存在这个漏洞，后续型号有可能存在这个漏洞。

对于企业的好消息是，攻击者可能需要在防火墙后面访问受信任的内部网络，从而把XML请求发送到目标。这当然会减少攻击成功的可能性。

目前尚无可用的补丁（一个补丁正在开发中），但在此期间思科建议管理员在存在这个漏洞的设备设置当中开启XML执行身份验证，只授予可信用户的网络访问。管理员还可以使用坚固的防火墙策略防范外部攻击。