Zenitel · Zenitel Alphacom Xe Audio Server · CVE-2021-40845
**Nome do software vulnerável e versões afetadas**
Versões do Zenitel AlphaCom XE Audio Server até a 11.2.3.10
**Descrição**
A parte web do Zenitel AlphaCom XE Audio Server, denominada AlphaWeb XE, não restringe o upload de arquivos na seção Custom Scripts em “php/index.php”. Nem o conteúdo nem a extensão dos arquivos enviados são verificados, permitindo a execução de código PHP no diretório /cmd.
**Recomendações**
Para versões até 11.2.3.10, considere restringir o acesso à seção Custom Scripts em “php/index.php” para minimizar o risco de exploração. Como solução temporária, considere desativar a execução de código PHP no diretório /cmd até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.