sangoma restapps 对生成代码的控制不恰当（代码注入）

admin

0
文章

0
评论

2023-12-01 14:24:41 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

sangoma restapps 对生成代码的控制不恰当（代码注入）

CVE编号

CVE-2020-10666

利用情况

暂无

补丁情况

N/A

披露时间

2021-05-31

漏洞描述

The restapps (aka Rest Phone apps) module for Sangoma FreePBX and PBXact 13, 14, and 15 through 15.0.19.2 allows remote code execution via a URL variable to an AMI command.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://wiki.freepbx.org/display/FOP/2020-03-12+SECURITY%3A+Potential+Rest+Ph...
https://wiki.freepbx.org/display/FOP/List+of+Securities+Vulnerabilities

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	sangoma	freepbx	-	-
	运行在以下环境
	应用	sangoma	restapps	*	From (including) 13.0	Up to (including) 13.0.93.2
	运行在以下环境
	应用	sangoma	restapps	*	From (including) 14.0	Up to (including) 14.0.22.2
	运行在以下环境
	应用	sangoma	restapps	*	From (including) 15.0	Up to (including) 15.0.19.2

攻击路径网络
攻击复杂度低
权限要求无
影响范围未更改
用户交互无
可用性高
保密性高
完整性高

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
CWE-77	在命令中使用的特殊元素转义处理不恰当（命令注入）
CWE-94	对生成代码的控制不恰当（代码注入）