CVE-2025-34328

Nome do Software Vulnerável e Versões Afetadas Dispositivos AudioCodes Fax Server e Auto-Attendant IVR, versões até e incluindo a 2.6.23

Descrição O componente de administração web (F2MAdmin) inclui um endpoint de gerenciamento de scripts não autenticado em /AudioCodes files/utils/IVR/diagram/ajaxScript.php. A ação saveScript dentro deste endpoint permite gravar dados fornecidos pelo invasor diretamente em um caminho de arquivo no servidor, executando com privilégios de NT AUTHORITYSYSTEM no Windows. Isso permite que um invasor remoto e não autenticado grave arquivos arbitrários na estrutura de diretórios acessível via web do produto e, subsequentemente, os execute.

Recomendações Versões anteriores à 2.6.23 devem ser atualizadas.