Vulnerabilidad de ejecución remota de código en FreePBX

Fecha de publicación:

14/02/2014

Importancia:

3 - Media

Recursos afectados:

Los sistemas afectados son FreePBX 2.10, 2.11 y 12.

Descripción:

El fichero config.php de FreePBX tiene una vulnerabilidad que permite ejecución remota de código sin necesidad de autenticación.

Solución:

Actualizar a la última versión disponible. No obstante, según se informa en el post del blog de FreePBX, esta actualización puede dar problemas a sistemas con versiones de PHP anteriores a la 5.3 y FreePBX 2.11, que deben aplicar adicionalmente el parche propuesto en el ticket 7130.

Detalle:

Los sistemas PBX vulnerables permitirían la ejecución remota de código, que podría resultar en daños graves para el sistema o extracción de contraseñas y otras credenciales accesibles para el usuario apache (en la mayoría de los sistemas, "asterisk").

Referencias:

FREEPBX-7123

FREEPBX-7130

Security Vulnerability Notice

Etiquetas:

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de ejecución remota de código en FreePBX

Ejecución remota de código en DrayTek Vigor Routers

Múltiples vulnerabilidades en routers Cisco Small Business

Múltiples vulnerabilidades en productos VMware

Múltiples vulnerabilidades en routers Arris

Omisión de autenticación en Dell CloudLink