Vulnerabilidad de ejecución remota de código en FreePBX

Fecha de publicación:

14/02/2014

Importancia:

3 - Media

Recursos afectados:

Los sistemas afectados son FreePBX 2.10, 2.11 y 12.

Descripción:

El fichero config.php de FreePBX tiene una vulnerabilidad que permite ejecución remota de código sin necesidad de autenticación.

Solución:

Actualizar a la última versión disponible. No obstante, según se informa en el post del blog de FreePBX, esta actualización puede dar problemas a sistemas con versiones de PHP anteriores a la 5.3 y FreePBX 2.11, que deben aplicar adicionalmente el parche propuesto en el ticket 7130.

Detalle:

Los sistemas PBX vulnerables permitirían la ejecución remota de código, que podría resultar en daños graves para el sistema o extracción de contraseñas y otras credenciales accesibles para el usuario apache (en la mayoría de los sistemas, "asterisk").

Referencias:

FREEPBX-7123

FREEPBX-7130

Security Vulnerability Notice

Etiquetas:

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de ejecución remota de código en FreePBX

Actualizaciones críticas en Oracle (abril 2019)

Múltiples vulnerabilidades de lectura fuera de límites en productos VMware

Múltiples vulnerabilidades en API Connect de IBM

Múltiples vulnerabilidades en dispositivos Juniper

Múltiples vulnerabilidades en BIG-IP de F5