PT-2022-8314 · 3Cx · 3Cx Phone System
Publicado
2022-06-07
·
Atualizado
2022-06-14
·
CVE-2019-9972
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
3CX Phone System, versão 16.0.0.1570
Descrição
A vulnerabilidade permite que um invasor autenticado execute comandos arbitrários com os privilégios do usuário “phonesystem” devido ao tratamento incorreto de uma sequência de entrada específica, a saber, “<espaço><espaço> seguido de ”.
Recomendações
Para a versão 16.0.0.1570, considere restringir o acesso ao Terminal do PhoneSystem para minimizar o risco de exploração até que uma correção esteja disponível. Como solução temporária, limite os privilégios do usuário phonesystem para reduzir os danos potenciais decorrentes da execução de comandos arbitrários.
Exploit
Correção
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
3Cx Phone System