FreePBX upgrade.php远程文件包含漏洞

- AV AC AU C I A
发布: 2025-03-27
修订: 2025-03-27

FreePBX之前被称为Asterisk Management Portal,是IP电话工具Asterisk的标准化实现,可提供Web配置界面和其他工具。 FreePBX在处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上以Web进程权限执行任意命令。 FreePBX的upgrade.php文件没有正确验证对amp_conf参数的输入,允许攻击者通过包含本地或外部任意资源导致执行任意PHP代码。漏洞相关的代码如下: require_once($amp_conf["AMPWEBROOT"] . "/admin/functions.inc.php"); Coalescent Systems Inc. freePBX 2.1.3 我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.freepbx.org/

0%
暂无可用Exp或PoC
当前有0条受影响产品信息