Описание
Уязвимость веб-интерфейса управления системами IP-телефонии FreePBX связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор
Sangoma Technologies Inc.
Наименование ПО
FreePBX
Версия ПО
до 15.0.38 (FreePBX)
до 16.0.41 (FreePBX)
до 17.0.21 (FreePBX)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,8)
Средний уровень опасности (оценка CVSS 4.0 составляет 6,6)
Возможные меры по устранению уязвимости
Использование рекомендаций производителя:
https://github.com/FreePBX/security-reporting/security/advisories/GHSA-frc2-jhgg-rwpr
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
- GHSA
EPSS
Процентиль: 33%
0.00129
Низкий
8.8 High
CVSS3
9 Critical
CVSS2
Связанные уязвимости
CVSS3: 7.5
nvd
5 месяцев назад
FreePBX is an open-source web-based graphical user interface. In FreePBX 15, 16, and 17, malicious connections to the Administrator Control Panel web interface can cause the uninstall function to be triggered for certain modules. This function drops the module's database tables, which is where most modules store their configuration. This vulnerability is fixed in 15.0.38, 16.0.41, and 17.0.21.
EPSS
Процентиль: 33%
0.00129
Низкий
8.8 High
CVSS3
9 Critical
CVSS2