CH azonosító
CH-9916Angol cím
ViciDial Asterisk GUI Client SQL Injection and Arbitrary Command Execution VulnerabilityFelfedezés dátuma
2013.10.25.Súlyosság
AlacsonyÖsszefoglaló
Adam Caudill töbszörös sérülékenységet jelentett a ViciDial Asterisk GUI kliensével kapcsolatban, amelyet kihasználva a rosszindulatú felhasználók kompromittálhatják a sebezhető rendszert és SQL befecskendezéses támadást hajthatnak végre.
Leírás
Adam Caudill töbszörös sérülékenységet jelentett a ViciDial Asterisk GUI kliensével kapcsolatban, amelyet kihasználva a rosszindulatú felhasználók kompromittálhatják a sebezhető rendszert és SQL befecskendezéses támadást hajthatnak végre.
1. A bevitel az “extension” és “phone_ip” GET paraméterekkel nem megfelelően előkészített mielőtt a “passthru() híváson használva lenne a www/agc/manager_send.php-ben.
Ezt kihasználva a támadó befecskendezhet és végrehajtathat tetszőleges shell parancsokat.
2. A bevitel a “campaign” GET paraméterrel az extras/SCRIPT_multirecording_AJAX.php-ben nem megfelelően előkészített mielőtt az SQL lekérdezésben használnák. Ezt kihasználva manipulálni lehet az SQL lekérdezéseket tetszőleges SQL kódok befecskendezésével.
A sérülékenységeket a 2.8-as verzióban jelentették be, de más verziók is érintettek lehetnek.
Megoldás
IsmeretlenMegoldás
Jelenleg nincs hivatalos megoldás
Támadás típusa
Input manipulation (Bemenet módosítás)System access (Rendszer hozzáférés)