PT-2021-3637 · Unknown · Voipmonitor
Furkan Göksel
·
Publicado
2021-05-10
·
Atualizado
2021-06-09
·
CVE-2021-30461
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do VoIPmonitor anteriores à 24.61
Descrição
Foi descoberta uma vulnerabilidade de execução remota de código na interface de usuário web do VoIPmonitor. A vulnerabilidade está relacionada ao gerenciamento incorreto da geração de código no componente config/configuration.php. Quando a opção de verificação é utilizada, o valor
SPOOLDIR fornecido pelo usuário, que pode conter código PHP, é injetado no arquivo config/configuration.php. Isso permite que um invasor remoto execute código PHP arbitrário.Recomendações
Para versões anteriores à 24.61, atualize para a versão 24.61 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso ao arquivo config/configuration.php para minimizar o risco de exploração. Evite usar o valor
SPOOLDIR na interface web afetada até que a vulnerabilidade seja resolvida.Exploit
Correção
Special Elements Injection
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Voipmonitor