BDU:2023-02038

Опубликовано: 03 мар. 2023

Источник: fstec

CVSS3: 8.8

CVSS2: 9

EPSS Низкий

Описание

Уязвимость файла службы /etc/init.d/openfire сервера PBX корпоративной системы управления IP-телефонией CoreDial sipXcom sipXopenfire связана с некорректным присваиванием привилегий. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии или выполнить произвольные команды

Вендор

CoreDial

Наименование ПО

SipXcom SipXopenfire

Версия ПО

21.04 (SipXcom SipXopenfire)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;

- ограничение доступа к устройству из внешних сетей (Интернет);

- использование средств межсетевого экранирования с целью ограничения доступа к устройству;

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-25355
CVE

EPSS

Процентиль: 92%

0.08803

Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2023-25355

CVSS3: 8.8

nvd

почти 3 года назад

CoreDial sipXcom up to and including 21.04 is vulnerable to Insecure Permissions. A user who has the ability to run commands as the `daemon` user on a sipXcom server can overwrite a service file, and escalate their privileges to `root`.

GHSA-wp73-jjrg-gp39

CVSS3: 8.8

github

почти 3 года назад

EPSS

Процентиль: 92%

0.08803

Низкий

8.8 High

CVSS3

9 Critical

CVSS2