聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
开源呼叫中心软件 GOautodial 修复了两个可导致信息泄露和远程代码执行(RCE)的漏洞(CVE-2021-43175和CVE-2021-43176)。GOautodial 的用户遍布全球,共计5万名。
01
CVE-2021-43175
该漏洞被评估为“中危”级别。API 路由器接受路由至其它PHP文件的用户名、密码和操作,用于执行多个API函数。
然而,易受攻击的 GOautodial 错误地验证用户名和密码,使得呼叫员能够为这些参数制定任意值并成功验证。这就使得呼叫员能够命名并呼叫第二个PHP文件,而无需提供GOautodial系统的任何有效凭据。
发现该漏洞的研究员 Scott Tolley 指出,“第一个漏洞即GOautodial API 验证损坏,可使对 GOautodial 服务器具有网络访问权限的攻击者从中请求配置数据,无需任何有效的用户账户或密码。配置数据包括敏感数据如其它服务和应用程序的默认密码,可被攻击者用于攻击系统的其它组件。”它可能包括网络上的其它相关系统如 VoIP 电话或服务。
02
CVE-2021-43176
另外一个漏洞 CVE-2021-43176 可使任何级别的认证用户执行远程代码,获得对服务器上 GOautodial 应用程序的完全控制权限。该漏洞为高危级别,可使攻击者窃取员工和客户的数据,甚至覆写应用程序引入恶意行为。
Tolley 指出,“第二个漏洞是远程代码执行漏洞,可使软件的普通用户如呼叫中心员工肆意妄为,如删除所有数据、窃取所有数据、拦截密码、伪造信息等。该漏洞很严重,因为它意味着任何级别的用户均可损害整个呼叫中心的完整性,或者获得对此类用户账户访问权限的攻击者也可做到。“
03
影响版本
研究人员指出,早于2021年9月27日发布的 commit b951651 的 GOautodial API 版本均易受攻击,包括最新公开可用的 ISO 安装程序 GOautodial-4-x86_64-Final-20191010-0150.iso。
Tolley 指出,“具有任何技能水平的任何人均可轻松利用这两个漏洞。不过不具备技能水平的攻击者会遇到一些困难。遗憾的是,可以轻松开发并封装易于利用的 exploit 供非技术攻击者利用。“
Tolley 在9月22日报告这些漏洞,GOautodial 在10月20日修复。Tolley 表示和 GOautodial 的沟通过程很顺利,后者迅速修复了这两个漏洞。
推荐阅读
美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了
速修复!开源编辑器CKEditor 中存在两个严重XSS漏洞,影响Drupal 和其它下游应用
原文链接
https://portswigger.net/daily-swig/goautodial-vulnerabilities-put-call-center-network-security-on-the-line
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~