CH azonosító
CH-7119Angol cím
Avaya IP Office Customer Call Reporter Arbitrary File Upload Security IssueFelfedezés dátuma
2012.06.28.Súlyosság
KözepesÉrintett rendszerek
AvayaIP Office Customer Call Reporter
Érintett verziók
Avaya IP Office Customer Call Reporter 7.x, 8.x
Összefoglaló
Az Avaya IP Office Customer Call Reporter sérülékenysége vált ismertté, amelyet kihasználva a támadók feltörhetik a sérülékeny rendszert.
Leírás
A sérülékenységet az okozza, hogy a web szerver komponensen belüli ImageUpload.ashx script lehetővé teszi, hogy egy, a webroot alatti könyvtárba korlátozások nélkül fájlokat töltsenek fel, ami kihasználható futtatható script-ek feltöltésére.
A sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé NETWORK SERVICE jogosultságokkal.
A sérülékenység a 7.0 és 8.0 verziókat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Security bypass (Biztonsági szabályok megkerülése)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: downloads.avaya.com
Egyéb referencia: www.zerodayinitiative.com
SECUNIA 49762