FreePBX多个跨站脚本攻击漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1182700 漏洞类型 跨站脚本
发布时间 2009-05-28 更新时间 2009-05-28
CVE编号 CVE-2009-1801 CNNVD-ID CNNVD-200905-319
漏洞平台 N/A CVSS评分 4.3
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200905-319
|漏洞详情
FreePBX(前称AsteriskManagementPortal)是FreePBX项目的一套通过GUI(基于网页的图形化接口)配置Asterisk(IP电话系统)的工具。FreePBX的UserPortal(ARI)和Reports应用中存在多个跨站脚本和跨站请求伪造漏洞,通过认证的用户可以利用这些漏洞注入脚本代码或获取敏感信息。FreePBX没有正确地验证对reports.php所传送的display参数、对config.php所传送的order和extdisplay参数及对recordings/index.php所传送的sort参数,这可能导致多个跨站脚本。
|参考资料

来源:BID
名称:34857
链接:http://www.securityfocus.com/bid/34857
来源:XF
名称:freepbx-reports-xss(50361)
链接:http://xforce.iss.net/xforce/xfdb/50361
来源:SECUNIA
名称:34772
链接:http://secunia.com/advisories/34772
来源:OSVDB
名称:54261
链接:http://osvdb.org/54261
来源:OSVDB
名称:54260
链接:http://osvdb.org/54260
来源:OSVDB
名称:54259
链接:http://osvdb.org/54259
来源:freepbx.org
链接:http://freepbx.org/trac/ticket/3660