Vulnerabilidad de ejecución remota de código en FreePBX

Fecha de publicación:

14/02/2014

Importancia:

3 - Media

Recursos afectados:

Los sistemas afectados son FreePBX 2.10, 2.11 y 12.

Descripción:

El fichero config.php de FreePBX tiene una vulnerabilidad que permite ejecución remota de código sin necesidad de autenticación.

Solución:

Actualizar a la última versión disponible. No obstante, según se informa en el post del blog de FreePBX, esta actualización puede dar problemas a sistemas con versiones de PHP anteriores a la 5.3 y FreePBX 2.11, que deben aplicar adicionalmente el parche propuesto en el ticket 7130.

Detalle:

Los sistemas PBX vulnerables permitirían la ejecución remota de código, que podría resultar en daños graves para el sistema o extracción de contraseñas y otras credenciales accesibles para el usuario apache (en la mayoría de los sistemas, "asterisk").

Referencias:

FREEPBX-7123

FREEPBX-7130

Security Vulnerability Notice

Etiquetas:

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de ejecución remota de código en FreePBX

Vulnerabilidad de contraseña embebida en Dell EMC Data Protection Advisor

Vulnerabilidad en Log Analysis de IBM

Desbordamientos de lectura y escritura en SolarWinds Dameware

Ejecución de comandos como root en IBM Spectrum Scale

Vulnerabilidad en dispositivos DrayTek