PT-2022-22412 · Vicidial · Vicidial
H00Die
·
Publicado
2022-07-05
·
Atualizado
2022-07-13
·
CVE-2022-34877
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do VICIdial 2.14b0.5 anteriores à 3555
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de SQL na interface AST Agent Time Sheet do VICIdial, especificamente no endpoint
/vicidial/AST agent time sheet.php, por meio do parâmetro agent. Isso permite que um invasor falsifique identidades, adultere dados existentes, divulgue todos os dados do sistema, destrua dados ou os torne indisponíveis e, potencialmente, assuma o controle do servidor de banco de dados.Recomendações
Para as versões 2.14b0.5 do VICIdial anteriores à 3555, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint
/vicidial/AST agent time sheet.php ou limitar o uso do parâmetro agent para minimizar o risco de exploração.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vicidial