Vulnerabilidad de ejecución remota de código en FreePBX

Fecha de publicación:

14/02/2014

Importancia:

3 - Media

Recursos afectados:

Los sistemas afectados son FreePBX 2.10, 2.11 y 12.

Descripción:

El fichero config.php de FreePBX tiene una vulnerabilidad que permite ejecución remota de código sin necesidad de autenticación.

Solución:

Actualizar a la última versión disponible. No obstante, según se informa en el post del blog de FreePBX, esta actualización puede dar problemas a sistemas con versiones de PHP anteriores a la 5.3 y FreePBX 2.11, que deben aplicar adicionalmente el parche propuesto en el ticket 7130.

Detalle:

Los sistemas PBX vulnerables permitirían la ejecución remota de código, que podría resultar en daños graves para el sistema o extracción de contraseñas y otras credenciales accesibles para el usuario apache (en la mayoría de los sistemas, "asterisk").

Referencias:

FREEPBX-7123

FREEPBX-7130

Security Vulnerability Notice

Etiquetas:

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de ejecución remota de código en FreePBX

Boletín de seguridad de Microsoft de noviembre de 2019

Ejecución remota de código en Cisco ASA y Cisco Firepower (FTD)

Actualización de seguridad de SAP de noviembre de 2019

Múltiples vulnerabilidades en productos de Intel

Cross-site scripting (XSS) en TIBCO EBX