Межсайтовый скриптинг в FreePBX

Дата публикации:
22.04.2015
Дата изменения:
22.04.2015
Всего просмотров:
1455
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:H/Au:N/C:/I:P/A:N/E:U/RL:O/RC:C) = Base:2.6/Temporal:1.9
CVE ID:
CVE-2015-2690
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
FreePBX 2.x
Уязвимые версии:
FreePBX 12.0.43 и более ранние версии

Описание:

Удаленный пользователь может осуществить XSS-атаку.

Уязвимость существует из-за недостаточной обработки входных данных в нескольких HTTP POST параметрах в сценарии /admin/config.php (когда "type" равен "setup", "display" - "digiumaddons", "page" - "add-license-form", а "addon" - "ffa"). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.


URL производителя: http://www.freepbx.org

Решение: Установите последнюю версию с сайта производителя.

Ссылки: http://git.freepbx.org/projects/FREEPBX/repos/digiumaddoninstaller/commits/2aad006024b74c9ff53943d3e68527a3dffac855