PT-2021-9166 · Sangoma · Sangoma Freepbx+1
Publicado
2021-05-31
·
Atualizado
2022-07-12
·
CVE-2020-10666
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Sangoma FreePBX e PBXact, versões 13 a 15.0.19.2
Descrição
A vulnerabilidade permite a execução remota de código por meio de uma variável de URL em um comando AMI. Isso está relacionado ao módulo restapps, também conhecido como Rest Phone apps.
Recomendações
Para as versões 13 a 15.0.19.2, considere restringir o acesso ao módulo restapps para minimizar o risco de exploração.
Como solução temporária, evite usar variáveis de URL que possam levar a comandos AMI até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pbxact
Sangoma Freepbx