PT-2021-8989 · Unknown · Liberty Lispbx
Fernando Pompeo Amatte
·
Publicado
2021-04-12
·
Atualizado
2021-04-21
·
CVE-2019-15059
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Liberty lisPBX, versões 2.0 a 2.0-4
Descrição
A vulnerabilidade permite a recuperação remota de arquivos de backup de configuração sem a necessidade de autenticação ou autorização. Esses arquivos contêm informações confidenciais do PBX, incluindo números de ramais, contatos e senhas, que podem ser acessados por meio de caminhos específicos, como
/backup/lispbx-CONF-AAAA-MM-DD.tar ou /backup/lispbx-CDR-AAAA-MM-DD.tar.Recomendações
Para as versões 2.0 a 2.0-4 do Liberty lisPBX, restrinja o acesso ao diretório
/backup para impedir a recuperação não autorizada de arquivos de backup de configuração. Considere implementar mecanismos adequados de autenticação e autorização para acessar esses arquivos.Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liberty Lispbx