影响版本:
FreePBX 2.4-2.6
程序介绍:
FreePBX之前被称为Asterisk Management Portal,是IP电话工具Asterisk的标准化实现,可提供Web配置界面和其他工具。
漏洞分析:
FreePBX的User Portal(ARI)和Reports应用中存在多个跨站脚本和跨站请求伪造漏洞,通过认证的用户可以利用这些漏洞注入脚本代码或获取敏感信息。
1) FreePBX没有正确地验证对reports.php所传送的display参数、对config.php所传送的order和extdisplay参数及对recordings/index.php所传送的sort参数,这可能导致多个跨站脚本。
2) FreePBX允许用户通过HTTP请求执行某些操作,但没有验证请求。如果登录的管理员访问了恶意网站,就可能导致执行某些管理操作。
3) 对于有效和无效用户名的登录尝试,FreePBX会返回不同的出错消息,因此攻击者可以枚举出有效的用户名。
解决方案:
厂商补丁:
FreePBX
——-
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://freepbx.org/trac/changeset/7659
http://freepbx.org/trac/changeset/7650
http://freepbx.org/trac/changeset/7651
http://freepbx.org/trac/changeset/7660
http://freepbx.org/trac/changeset/7661
