FreePBX admin/config.php页面口令泄露漏洞
添加时间:
2010-01-19
系统编号:
WAVDB-01530
BUGTRAQ: 37848
影响版本:
FreePBX 2.5.x
程序介绍:
解决方案:
厂商补丁:
FreePBX
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://mirror.freepbx.org/freepbx-2.6.0.tar.gz
信息来源:
<*来源:Ivan Huertas
链接:http://marc.info/?l=full-disclosure&m=126385051617393&w=2
http://secunia.com/advisories/38266/
*>
2010-01-19
系统编号:
WAVDB-01530
BUGTRAQ: 37848
影响版本:
FreePBX 2.5.x
程序介绍:
FreePBX之前被称为Asterisk Management Portal,是IP电话工具Asterisk的标准化实现,可提供Web配置界面和其他工具。
漏洞分析:
可以访问FreePBX的administrators部分的用户可以通过查看html源码获得其他用户的管理员口令。
漏洞利用:
- <a href=# class="info">Password<span>Create a password for this new
- user</span></a>:
- </td><td>
- <input type="password" size="20" name="password" value="admin" tabindex="2"/>
- </td>
解决方案:
厂商补丁:
FreePBX
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://mirror.freepbx.org/freepbx-2.6.0.tar.gz
信息来源:
<*来源:Ivan Huertas
链接:http://marc.info/?l=full-disclosure&m=126385051617393&w=2
http://secunia.com/advisories/38266/
*>