CVE-2025-34330

Nome do Software Vulnerável e Versões Afetadas Dispositivos AudioCodes Fax Server e Auto-Attendant IVR, versões até e incluindo a 2.6.23

Descrição O componente de administração web (F2MAdmin) inclui um endpoint de upload de prompt não autenticado em /AudioCodes files/utils/IVR/diagram/ajaxPromptUploadFile.php. Este script aceita arquivos carregados e os escreve no diretório C:F2MAdmintmp utilizando um nome de arquivo derivado de constantes da aplicação, sem autenticação, autorização ou validação de tipo de arquivo. Um atacante remoto não autenticado pode carregar ou sobrescrever arquivos relacionados a prompts ou música de espera, potencialmente adulterando o conteúdo de áudio do IVR ou preparando arquivos para ataques subsequentes.

Recomendações Versões anteriores à 2.6.23 devem ser atualizadas.