VULHUB ™

FreePBX（前称Asterisk Management Portal）是FreePBX项目的一套通过GUI（基于网页的图形化接口）配置Asterisk（IP电话系统）的工具。 当display设置为trunks的时候，FreePBX没有正确地过滤提交给admin/config.php的tech参数便返回给了用户，这可能导致在用户的浏览器会话中执行任意HTML和脚本代码。此外在添加Zap渠道的时候没有正确的过滤提交给Description部分的输入，这可能导致存储式跨站脚本攻击。

FreePBX（前称Asterisk Management Portal）是FreePBX项目的一套通过GUI（基于网页的图形化接口）配置Asterisk（IP电话系统）的工具。 当display设置为trunks的时候，FreePBX没有正确地过滤提交给admin/config.php的tech参数便返回给了用户，这可能导致在用户的浏览器会话中执行任意HTML和脚本代码。此外在添加Zap渠道的时候没有正确的过滤提交给Description部分的输入，这可能导致存储式跨站脚本攻击。