VULHUB ™

#### FreePBX 2.5.x 'admin/config.php'密码信息泄漏漏洞 1. 漏洞信息 FreePBX是一款用来控制Asterisk的图形化接口。 能访问管理段的用户可以通过查看HTML源代码来获得其他管理员的密码信息。 2.漏洞使用方法 访问管理段用户的url http://localhost/admin/config.php?display=ampusers&userdisplay=admin 查看网页源码 ``` <a href=# class="info">Password<span>Create a password for this new user</span></a>: </td><td> <input type="password" size="20" name="password" value="admin" tabindex="2"/> </td> ```` 可以看到了密码 3.厂商解决方案 freePBX 2.6已经修复此漏洞，建议用户下载使用： http://mirror.freepbx.org/freepbx-2.6.0.tar.gz

#### FreePBX 2.5.x 'admin/config.php'密码信息泄漏漏洞 1. 漏洞信息 FreePBX是一款用来控制Asterisk的图形化接口。 能访问管理段的用户可以通过查看HTML源代码来获得其他管理员的密码信息。 2.漏洞使用方法 访问管理段用户的url http://localhost/admin/config.php?display=ampusers&userdisplay=admin 查看网页源码 ``` <a href=# class="info">Password<span>Create a password for this new user</span></a>: </td><td> <input type="password" size="20" name="password" value="admin" tabindex="2"/> </td> ```` 可以看到了密码 3.厂商解决方案 freePBX 2.6已经修复此漏洞，建议用户下载使用： http://mirror.freepbx.org/freepbx-2.6.0.tar.gz