漏洞信息详情

VICIDIAL ‘manager_send.php’SQL注入漏洞

• CNNVD编号：CNNVD-201310-670
• 危害等级： 高危
  
• CVE编号： CVE-2013-4467
• 漏洞类型： SQL注入
• 发布时间： 2013-10-31
• 威胁类型： 远程
• 更新时间： 2014-03-13
• 厂        商： vicidial
• 漏洞来源： Adam Caudill

漏洞简介

VICIDIAL dialer（又名Asterisk GUI client）是美国Vicidial集团所负责维护的一套基于Asterisk的开源PBX系统，也是一个用于处理大量呼入、呼出的呼叫中心软件包。

VICIDIAL dialer 2.7及之前版本中的代理界面(agc/)中存在SQL注入漏洞，该漏洞源于SCRIPT_multirecording_AJAX.php脚本没有充分过滤‘campaign’参数和manager_send.php脚本没有正确过滤‘server_ip parameter’参数。远程攻击者可利用该漏洞执行任意SQL命令。

漏洞公告

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.vicidial.org/vicidial.php

参考网址

来源: github.com

链接:https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/unix/webapp/vicidial_manager_send_cmd_exec.rb

来源: adamcaudill.com

链接:https://adamcaudill.com/2013/10/23/vicidial-multiple-vulnerabilities

来源: BID

名称: 63340

链接:http://www.securityfocus.com/bid/63340

来源: SECUNIA

名称: 55453

链接:http://secunia.com/advisories/55453

来源: MLIST

名称: [oss-security] 20131024 Re: VICIDIAL 2.7 - SQL Injection, Command Injection

链接:http://seclists.org/oss-sec/2013/q4/175

来源: MLIST

名称: [oss-security] 20131023 VICIDIAL 2.7 - SQL Injection, Command Injection

链接:http://seclists.org/oss-sec/2013/q4/171

来源: OSVDB

名称: 98903

链接:http://osvdb.org/98903

受影响实体

• Vicidial Vicidial:2.7:Rc1  
• Vicidial Vicidial:2.7:-  
• Vicidial Vicidial:2.8:403a  

补丁

暂无