CVE-2021-45310

Sangoma Technologies Corporation Switchvox versão 102409

O problema está relacionado a uma vulnerabilidade de divulgação de informações devido a restrições de acesso inadequadas. Informações do usuário, incluindo nome, sobrenome, ID da conta, UUID do servidor, endereço de e-mail, imagem de perfil, número, carimbos de data/hora etc., podem ser extraídas enviando uma solicitação HTTP GET não autenticada para o endpoint “https://Switchvox-IP/main?cmd=invalid browser”. O ID da conta, o UUID do servidor, o endereço de e-mail e outros detalhes do usuário podem ser acessados por meio desse método.

Para a versão 102409 do Switchvox da Sangoma Technologies Corporation, como solução temporária, considere restringir o acesso ao endpoint “https://Switchvox-IP/main?cmd=invalid browser” até que um patch esteja disponível. Evite usar este endpoint em solicitações não autenticadas para minimizar o risco de divulgação de informações. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.