VULHUB ™

Bugraq ID: 34857 CNCAN ID：CNCAN-2009050801 FreePBX是一款用来控制Asterisk的图形化接口。 FreePBX存在多个安全问题，远程攻击者可以利用漏洞获得系统敏感信息或进行跨站脚本攻击。 -reports.php脚本对&quot;display&quot;参数，config.php对&quot;order&quot;和&quot;extdisplay&quot;参数，recordings/index.php脚本对&quot;sort&quot;参数在返回用户前缺少过滤，可导致在用户浏览器会话中执行任意HTML和脚本代码。 -应用程序丢请求没有执行任何合法行检查，允许用户通过HTTP请求执行部分操作。通过跨站脚本伪造请求，可导致当管理员访问恶意站点时执行部分管理员操作。 -在处理不成功登录时对合法或非法的用户名返回不同的错误消息，可导致枚举合法用户名。 freePBX freePBX 2.5.2 freePBX freePBX 2.5.1 freePBX freePBX 2.4.1 freePBX freePBX trunk freePBX freePBX 2.5 freePBX freePBX 2.4 升级程序： freePBX freePBX trunk freePBX Module Publish Script: framework 2.6.0.alpha1.0 <a href=http://freepbx.org/trac/changeset/7660 target=_blank rel=external nofollow>http://freepbx.org/trac/changeset/7660</a> freePBX Module Publish Script: fw_ari 2.6.0.0 <a href=http://freepbx.org/trac/changeset/7661 target=_blank rel=external nofollow>http://freepbx.org/trac/changeset/7661</a> freePBX freePBX 2.4.1 freePBX Module Publish Script: framework 2.4.1.3 <a...

Bugraq ID: 34857 CNCAN ID：CNCAN-2009050801 FreePBX是一款用来控制Asterisk的图形化接口。 FreePBX存在多个安全问题，远程攻击者可以利用漏洞获得系统敏感信息或进行跨站脚本攻击。 -reports.php脚本对&quot;display&quot;参数，config.php对&quot;order&quot;和&quot;extdisplay&quot;参数，recordings/index.php脚本对&quot;sort&quot;参数在返回用户前缺少过滤，可导致在用户浏览器会话中执行任意HTML和脚本代码。 -应用程序丢请求没有执行任何合法行检查，允许用户通过HTTP请求执行部分操作。通过跨站脚本伪造请求，可导致当管理员访问恶意站点时执行部分管理员操作。 -在处理不成功登录时对合法或非法的用户名返回不同的错误消息，可导致枚举合法用户名。 freePBX freePBX 2.5.2 freePBX freePBX 2.5.1 freePBX freePBX 2.4.1 freePBX freePBX trunk freePBX freePBX 2.5 freePBX freePBX 2.4 升级程序： freePBX freePBX trunk freePBX Module Publish Script: framework 2.6.0.alpha1.0 <a href=http://freepbx.org/trac/changeset/7660 target=_blank rel=external nofollow>http://freepbx.org/trac/changeset/7660</a> freePBX Module Publish Script: fw_ari 2.6.0.0 <a href=http://freepbx.org/trac/changeset/7661 target=_blank rel=external nofollow>http://freepbx.org/trac/changeset/7661</a> freePBX freePBX 2.4.1 freePBX Module Publish Script: framework 2.4.1.3 <a href=http://freepbx.org/trac/changeset/7659 target=_blank rel=external nofollow>http://freepbx.org/trac/changeset/7659</a> freePBX freePBX 2.5.1 freePBX Module Publish Script: framework 2.5.1.3 <a href=http://freepbx.org/trac/changeset/7650 target=_blank rel=external nofollow>http://freepbx.org/trac/changeset/7650</a> freePBX freePBX 2.5.2 freePBX Module Publish Script: fw_ari 2.5.2.3 <a href=http://freepbx.org/trac/changeset/7651 target=_blank rel=external nofollow>http://freepbx.org/trac/changeset/7651</a>