CVE-2025-34335

Nome do Software Vulnerável e Versões Afetadas Dispositivos AudioCodes Fax Server e Auto-Attendant IVR versões até e incluindo a 2.6.23

Descrição O software contém uma vulnerabilidade de injeção de comando no processo de ativação de licença, especificamente no arquivo ''ActivateLicense.php'' localizado no diretório ''AudioCodes files''. A aplicação constrói um comando para ''fax server lic cmdline.exe'' usando um nome de arquivo derivado de um upload de arquivo de licença fornecido pelo usuário. A extensão do arquivo, que é controlada pelo atacante, é incorporada à string de comando sem a devida validação ou sanitização. Isso permite que um usuário autenticado injete comandos shell arbitrários que são executados com privilégios de NT AUTHORITYSYSTEM. O parâmetro vulnerável é a extensão do arquivo dentro do arquivo de licença carregado.

Recomendações Versões anteriores à 2.6.23 devem ser utilizadas.