FreePBX多个跨站脚本和信息泄露漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1182697 漏洞类型 信息泄露
发布时间 2009-05-28 更新时间 2009-05-28
CVE编号 CVE-2009-1803 CNNVD-ID CNNVD-200905-321
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
https://www.securityfocus.com/bid/79477
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200905-321
|漏洞详情
FreePBX(前称AsteriskManagementPortal)是FreePBX项目的一套通过GUI(基于网页的图形化接口)配置Asterisk(IP电话系统)的工具。FreePBX的UserPortal(ARI)和Reports应用中存在多个跨站脚本和跨站请求伪造漏洞,通过认证的用户可以利用这些漏洞注入脚本代码或获取敏感信息。对于有效和无效用户名的登录尝试,FreePBX会返回不同的出错消息,因此攻击者可以枚举出有效的用户名。
|受影响的产品
freePBX freePBX 2.5.2 freePBX freePBX 2.5.1 freePBX freePBX 2.4.1 freePBX freePBX 2.5.0Rc3 freePBX freePBX 2.5.0Rc2 freePBX freePBX 2.5.0 Beta1 freePBX f
|参考资料

来源:BID
名称:34857
链接:http://www.securityfocus.com/bid/34857
来源:OSVDB
名称:54263
链接:http://www.osvdb.org/54263
来源:SECUNIA
名称:34772
链接:http://secunia.com/advisories/34772
来源:freepbx.org
链接:http://freepbx.org/trac/ticket/3660