开源呼叫中心软件 GOautodial 存在两个漏洞,可导致RCE

最新推荐文章于 2024-04-11 09:37:52 发布
最新推荐文章于 2024-04-11 09:37:52 发布
阅读量393 收藏
点赞数
文章标签: java 安全 linux python mysql
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247509639&idx=2&sn=59b7e4a5902dc668aaa5c9aa45f32fea&chksm=ea9497eddde31efba24da7ba1985f09f75919d8ae6ab4830a52a933c824e702949b4354d2cdc&scene=126&&sessionid=0
版权

e5f2ed2893519bdee354d6170aa473db.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

cfd34061c3c2d5d2ebada6bc1aab3de1.gif

开源呼叫中心软件 GOautodial 修复了两个可导致信息泄露和远程代码执行(RCE)的漏洞(CVE-2021-43175和CVE-2021-43176)。GOautodial 的用户遍布全球,共计5万名。

01

CVE-2021-43175

该漏洞被评估为“中危”级别。API 路由器接受路由至其它PHP文件的用户名、密码和操作,用于执行多个API函数。

然而,易受攻击的 GOautodial 错误地验证用户名和密码,使得呼叫员能够为这些参数制定任意值并成功验证。这就使得呼叫员能够命名并呼叫第二个PHP文件,而无需提供GOautodial系统的任何有效凭据。

发现该漏洞的研究员 Scott Tolley 指出,“第一个漏洞即GOautodial API 验证损坏,可使对 GOautodial 服务器具有网络访问权限的攻击者从中请求配置数据,无需任何有效的用户账户或密码。配置数据包括敏感数据如其它服务和应用程序的默认密码,可被攻击者用于攻击系统的其它组件。”它可能包括网络上的其它相关系统如 VoIP 电话或服务。

02

CVE-2021-43176

另外一个漏洞 CVE-2021-43176 可使任何级别的认证用户执行远程代码,获得对服务器上 GOautodial 应用程序的完全控制权限。该漏洞为高危级别,可使攻击者窃取员工和客户的数据,甚至覆写应用程序引入恶意行为。

Tolley 指出,“第二个漏洞是远程代码执行漏洞,可使软件的普通用户如呼叫中心员工肆意妄为,如删除所有数据、窃取所有数据、拦截密码、伪造信息等。该漏洞很严重,因为它意味着任何级别的用户均可损害整个呼叫中心的完整性,或者获得对此类用户账户访问权限的攻击者也可做到。“

03

影响版本

研究人员指出,早于2021年9月27日发布的 commit b951651 的 GOautodial API 版本均易受攻击,包括最新公开可用的 ISO 安装程序 GOautodial-4-x86_64-Final-20191010-0150.iso。

Tolley 指出,“具有任何技能水平的任何人均可轻松利用这两个漏洞。不过不具备技能水平的攻击者会遇到一些困难。遗憾的是,可以轻松开发并封装易于利用的 exploit 供非技术攻击者利用。“

Tolley 在9月22日报告这些漏洞,GOautodial 在10月20日修复。Tolley 表示和 GOautodial 的沟通过程很顺利,后者迅速修复了这两个漏洞。

推荐阅读

在线阅读版:《2021中国软件供应链安全分析报告》全文

美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了

软件供应链安全现状分析与对策建议

速修复!开源编辑器CKEditor 中存在两个严重XSS漏洞,影响Drupal 和其它下游应用

原文链接

https://portswigger.net/daily-swig/goautodial-vulnerabilities-put-call-center-network-security-on-the-line

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

5c33a16ee7dade7c1ec6ced04a8b7346.png

ae8a4104f29fa0a3ecb9b121ff2977a5.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   6c46619ed4f3e915f3dfef51ec30a7d0.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
百度开源呼叫中心系统
weixin_30485379的博客
04-07 3033
简介 百度开发的一套基于互联网应用模式的呼叫中心套件,采用颠覆式的技术模式,无需任何专有硬件设备,以通用服务器+软件的模式,依靠云计算等技术,完成语音的交换和呼叫的控制,在大幅降低呼叫中心建设成本的同时,仍然具有无法比拟的高可靠性。 联系方式 QQ群:83412519 平台特性 语音通信遵循SIP协议,基于FreeSWITCH进行语音接入 呼叫控制遵循CSTAII协议 ...
RCE:分布式,工作流驱动的集成环境-开源
04-29
请参阅项目网站:http://www.rcenvironment.de。
Goautodial 电话流程
goautodial的专栏
09-05 1060
1,坐席通过web页面登录,输入自己的分机号码/密码,用户名/密码. 2,当agent通过Web页面认证,mysql从vicidial_conferences表中分配一个会议室号码给这个Agent, 同时Asterisk会发起一个呼叫Agent分机,Agent分机应答,Agent进入这个会议室. 3,后台perl脚本会将lead信息放入hopper表,hopper表相当于是一个lead的缓存
呼叫中心开源
03-26
呼叫中心开源
从零开始搭建云呼叫中心之FreeSwitch实战
最新发布
京东科技开发者
04-11 753
FreeSWITCH是一个自由开源的软交换。它采用Mozilla Public License授权协议,MPL是一个开源软件协议。它的核心库libfreeswitch可以嵌入其它系统或产品中,也可以做一个单独的应用存在。您可以使用freeswitch搭建一个简单的云呼叫中心,实现互联网中的语音通话,因为其符合标准的sip通信协议,你也可以使用一些开源的实现了标准SIP协议的客户端sdk,从而将语音呼叫集成在各种设备中,例如手机,或者别的嵌入式的设备中。
goautodial-64bit-ce-3.3-final.part01
04-25
goautodial-64bit-ce-3.3-final.part01
开源 Asterisk 呼叫中心客户端
msbbc的专栏
11-02 8173
开源 Asterisk 呼叫中心客户端 软件说明: Asterisk 客户端是通过Asterisk AMI接口开发的应用软件,目前主要功能用于Asterisk 或者 基于Asterisk开发的交换机系统的“软电话”或“模拟电话”的来电弹屏和电话过滤,主要应用在Asterisk呼叫中心坐席端或者其他需要通过来电号码查询数据库的应用。使用此软件,你需要有配套的“软电话”或“模拟电话”,推荐使用目前
如何利用三个漏洞组合达成Discord RCE漏洞 .pdf
09-05
《利用三个漏洞组合达成Discord RCE漏洞的深入解析》 Discord,一款深受游戏玩家、教育工作者和商业人士喜爱的实时通讯平台,以其强大的语音和文本聊天功能,以及丰富的社区特性,吸引了全球数百万用户。然而,如同...
向日葵RCE漏洞(CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞(CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
RCE Daemon-开源
05-03
RCE Daemon是用于管理在Win32下运行的LAN的小型安全工具。 具有GUI客户端以及端口999 telnet访问。
通达OA任意文件上传配合文件包含导致RCE.md
04-12
通达OA任意文件上传配合文件包含导致RCE
呼叫中心 CallCenter
07-03
呼叫中心是充分利用现代通讯与计算机技术,如IVR(交互式语音800呼叫中心流程图应答系统)、ACD(自动呼叫分配系统)等等,可以自动灵活地处理大量各种不同的电话呼入和呼出业务和服务的运营操作场所。呼叫中心在企业应用中已经逐渐从电话...
lemon:基于FreeSWITCH的开源呼叫中心系统
03-11
lemon是基于FreeSWITCH的开源呼叫中心系统,是tenjin 3.0的升级版,并且正式更名为柠檬,网站系统主要使用PHP开发,核心控制模块使用C语言编写,单台服务器可多租户使用。 主要功能和特性 座席高度监控 3种外呼模式 简单的订单系统 分机注册及状态监控 商品管理和语音管理 通话录音查询 通话记录和通话数据报表 集成VOS账户余额查询 可定制简单的呼入核心 3种外呼模式 群呼转座席自动模式 群呼转座席固定模式 半自动一对一外呼 安装教程 服务优化 $ systemctl disable auditd.service $ systemctl disable firewalld.service $ systemctl disable microcode.service $ systemctl disable NetworkManager.service $ systemctl d
java呼叫中心系统源码-introrx-chinese-edition:你错过的React式编程入门--中文版
06-05
java呼叫中心系统源码 RP入门 作者: 翻译:、 作者在后回答了不少人的疑惑,推荐一看。 在翻译时,术语我尽量不翻译,就算翻译了也会给出原文以作对照。因为就个人观察的情况而言,术语翻译难以统一,不同的译者会把同一个概念翻译成不同的版本,最终只会让读者困惑。而且术语往往就几个单词,记起来也不难。 作者在回复中提了一下FRP与RP是不同的,同时建议把这份教程中的FRP都替换为RP,所以译文就把FRP都替换为RP了。 很明显你有兴趣学习这种被称作RP(Reactive Programming)的新技术,特别是它对应的实现如:Rx、Bacon.js、RAC等。 学习RP是很困难的一个过程,特别是在缺乏优秀资料的前提下。刚开始学习时,我试过去找一些教程,并找到了为数不多的实用教程,但是它们都流于表面,从没有围绕RP构建起一个完整的知识体系。库的文档往往也无法帮助你去了解它的函数。不信的话可以看一下这个: Rx.Observable.prototype.flatMapLatest(selector, [thisArg]) !@#¥%……&* 尼玛。 我看过两本书,一本只是讲述了一些概念,而另一
阿里云呼叫中心demo源码
12-26
阿里云呼叫中心演示二次开发代码,可以认真学习引用逻辑,非常值得学习
安装tensorflow1.8版本的过程中numpy发现问题
weixin_39634332的博客
09-21 580
报错部分: kai@ubuntu:~$ python3 Python 3.6.8 (default, Aug 20 2019, 17:12:48) [GCC 8.3.0] on linux Type "help", "copyright", "credits" or "license" for more information. >>> import tensorflow /home/kai/.local/lib/python3.6/site-packages/tensorflow/py
能在基于Windows的vmware上安装vicidial吗?
goautodial的专栏
09-08 905
zaptal的定时器是一秒有1000个时钟周期的,基于linux内核的操作系统可以处理的很好.    但是基于Windows的vmware 在CPU上的时钟在处理是有缺陷的,也就是说当系统繁忙时会导致时钟紊乱. the zaptel timer is the messy thing in Asterisk on VMware because the image that is running
支持中文的Rasa NLU训练服务部署---Rasa_NLU_Chi
n66040927的博客
08-21 1633
代码在https://github.com/crownpku/rasa_nlu_chi 本文大部分内容抄自http://www.crownpku.com/2017/07/27/%E7%94%A8Rasa_NLU%E6%9E%84%E5%BB%BA%E8%87%AA%E5%B7%B1%E7%9A%84%E4%B8%AD%E6%96%87NLU%E7%B3%BB%E7%BB%9F.html 但是它的内容已经严重过时,根本跑不起来,结合自己部署过程中踏过的一些坑,形成此文。 部署环境:Ubuntu 16..
如何判断是否存在rce漏洞
04-28
判断是否存在RCE漏洞通常需要进行安全测试或安全审计。具体方法包括: 1. 扫描工具:使用漏洞扫描工具,例如Nessus、OpenVAS等,扫描目标系统或应用程序,查找可能存在安全漏洞,包括RCE漏洞。 2. 端口扫描:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值