正文

FreePBX 代码注入漏洞

admin
admin V管理员 /0 评论 /9 阅读
0110
此篇文章发布距今已超过1277天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

FreePBX 代码注入漏洞

  • CNNVD编号:CNNVD-201410-143
    • <!--
  • 危害等级: 超危-->
  • 危害等级: 超危
  • CVE编号: CVE-2014-7235
  • 漏洞类型: 代码注入
  • 发布时间: 2014-10-14
  • 威胁类型: 远程
  • 更新时间: 2019-12-12
  • 厂        商: freepbx
  • 漏洞来源:

漏洞简介

FreePBX(前称Asterisk Management Portal)是FreePBX项目的一套通过GUI(基于网页的图形化接口)配置Asterisk(IP电话系统)的工具。

FreePBX的ARI Framework module/Asterisk Recording Interface (ARI)中的htdocs_ari/includes/login.php文件存在安全漏洞。远程攻击者可借助‘ari_auth’coockie利用该漏洞执行任意代码。以下版本受到影响:FreePBX 2.9.0.8及之前版本,2.10.x版本,2.11.1.5之前2.11版本。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

http://community.freepbx.org/t/critical-freepbx-rce-vulnerability-all-versions-cve-2014-7235/24536

参考网址

来源:CONFIRM

链接:http://community.freepbx.org/t/critical-freepbx-rce-vulnerability-all-versions-cve-2014-7235/24536

来源:BID

链接:https://www.securityfocus.com/bid/70188

来源:CONFIRM

链接:https://github.com/FreePBX/fw_ari/commit/f294b4580ce725ca3c5e692d86e63d40cef4d836

来源:SECUNIA

链接:http://secunia.com/advisories/61601

来源:MISC

链接:https://packetstormsecurity.com/files/128516/FreePBX-Authentication-Bypass-Account-Creation.html

来源:EXPLOIT-DB

链接:https://www.exploit-db.com/exploits/41005/

来源:XF

链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/96790

受影响实体

  • Freepbx Freepbx:2.10.0.6  
    <!--
    2000-1-1
    -->
  • Freepbx Freepbx:2.10.0.3  
    <!--
    2000-1-1
    -->
  • Freepbx Freepbx:2.10.0.4  
    <!--
    2000-1-1
    -->
  • Freepbx Freepbx:2.10.0.5  
    <!--
    2000-1-1
    -->
  • Freepbx Freepbx:2.10.0.0  
    <!--
    2000-1-1
    -->

补丁

  • fw_ari-release-2.11.1.5
    <!--
    2014-10-1
    -->