PT-2024-39061 · Vicidial · Vicidial

Jaggar Henry

Publicado

2024-07-05

Atualizado

2025-11-21

CVE-2024-8504

CVSS v2.0

Alta

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

VICIdial (versões afetadas não especificadas)

Descrição

Um invasor autenticado com acesso de agente pode executar comandos de shell arbitrários como usuário root. Essa vulnerabilidade pode ser combinada com outra para executar comandos de shell arbitrários sem autenticação. A vulnerabilidade está relacionada à falta de proteção da estrutura da consulta SQL no script VERM AJAX functions.php. A exploração pode permitir que um invasor remoto execute código arbitrário.

Recomendações

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

SQL injection

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89CWE-78

Identificadores relacionados

BDU:2025-02024

CVE-2024-8504

Produtos afetados

Vicidial

PT-2024-39061 · Vicidial · Vicidial

CVE-2024-8504

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 39