PT-2024-39060 · Vicidial · Vicidial
Jaggar Henry
·
Publicado
2024-07-05
·
Atualizado
2025-11-21
·
CVE-2024-8503
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do VICIdial anteriores à 2.14-917a
VICIdial versão 2.14-917a
Descrição
Um invasor não autenticado pode explorar uma falha de injeção de SQL baseada em tempo no VICIdial para recuperar registros do banco de dados. Por padrão, o software armazena credenciais em texto simples no banco de dados. Um invasor autenticado com acesso de agente pode executar comandos shell arbitrários como usuário root. Esse acesso root pode ser combinado com a vulnerabilidade de injeção de SQL para comprometer ainda mais o sistema. A vulnerabilidade reside no script
VERM AJAX functions.php devido à falta de proteção contra ataques de injeção de SQL.Recomendações
Versões do VICIdial anteriores à 2.14-917a: atualize para a versão 2.14-917a ou posterior.
VICIdial versão 2.14-917a: aplique todas as atualizações ou patches disponíveis para corrigir a falha de execução remota de código.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vicidial