FreePBX 多个跨站请求伪造漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1182698 漏洞类型 跨站请求伪造
发布时间 2009-05-28 更新时间 2009-05-28
CVE编号 CVE-2009-1802 CNNVD-ID CNNVD-200905-320
漏洞平台 N/A CVSS评分 6.8
|漏洞来源
https://www.securityfocus.com/bid/79488
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200905-320
|漏洞详情
FreePBX(前称AsteriskManagementPortal)是FreePBX项目的一套通过GUI(基于网页的图形化接口)配置Asterisk(IP电话系统)的工具。FreePBX的UserPortal(ARI)和Reports应用中存在多个跨站脚本和跨站请求伪造漏洞,通过认证的用户可以利用这些漏洞注入脚本代码或获取敏感信息。FreePBX允许用户通过HTTP请求执行某些操作,但没有验证请求。如果登录的管理员访问了恶意网站,就可能导致执行某些管理操作。
|受影响的产品
freePBX freePBX 2.5.2 freePBX freePBX 2.5.1 freePBX freePBX 2.4.1 freePBX freePBX 2.5.0Rc3 freePBX freePBX 2.5.0Rc2 freePBX freePBX 2.5.0 Beta1 freePBX f
|参考资料

来源:BID
名称:34857
链接:http://www.securityfocus.com/bid/34857
来源:SECUNIA
名称:34772
链接:http://secunia.com/advisories/34772
来源:OSVDB
名称:54262
链接:http://osvdb.org/54262
来源:freepbx.org
链接:http://freepbx.org/trac/ticket/3660