Bugraq ID: 34857
CNCAN ID:CNCAN-2009050801
FreePBX是一款用来控制Asterisk的图形化接口。
FreePBX存在多个安全问题,远程攻击者可以利用漏洞获得系统敏感信息或进行跨站脚本攻击。
-reports.php脚本对"display"参数,config.php对"order"和"extdisplay"参数,recordings/index.php脚本对"sort"参数在返回用户前缺少过滤,可导致在用户浏览器会话中执行任意HTML和脚本代码。
-应用程序丢请求没有执行任何合法行检查,允许用户通过HTTP请求执行部分操作。通过跨站脚本伪造请求,可导致当管理员访问恶意站点时执行部分管理员操作。
-在处理不成功登录时对合法或非法的用户名返回不同的错误消息,可导致枚举合法用户名。
freePBX freePBX 2.5.2
freePBX freePBX 2.5.1
freePBX freePBX 2.4.1
freePBX freePBX trunk
freePBX freePBX 2.5
freePBX freePBX 2.4
升级程序:
freePBX freePBX trunk
freePBX Module Publish Script: framework 2.6.0.alpha1.0
<a href=http://freepbx.org/trac/changeset/7660 target=_blank rel=external nofollow>http://freepbx.org/trac/changeset/7660</a>
freePBX Module Publish Script: fw_ari 2.6.0.0
<a href=http://freepbx.org/trac/changeset/7661 target=_blank rel=external nofollow>http://freepbx.org/trac/changeset/7661</a>
freePBX freePBX 2.4.1
freePBX Module Publish Script: framework 2.4.1.3
<a href=http://freepbx.org/trac/changeset/7659 target=_blank rel=external nofollow>http://freepbx.org/trac/changeset/7659</a>
freePBX freePBX 2.5.1
freePBX Module Publish Script: framework 2.5.1.3
<a href=http://freepbx.org/trac/changeset/7650 target=_blank rel=external nofollow>http://freepbx.org/trac/changeset/7650</a>
freePBX freePBX 2.5.2
freePBX Module Publish Script: fw_ari 2.5.2.3
<a href=http://freepbx.org/trac/changeset/7651 target=_blank rel=external nofollow>http://freepbx.org/trac/changeset/7651</a>
京公网安备 11010502034610号
暂无评论