15 de febrero de 2014

Vulnerabilidad de ejecución remota de código en FreePBX

El fichero config.php de FreePBX tiene una vulnerabilidad que permite ejecución remota de código sin necesidad de autenticación. Dicha vulnerabilidad ha sido catalogada con nivel de importancia medio.
Recursos afectados
Los sistemas afectados son FreePBX 2.10, 2.11 y 12.
Recomendación
Actualizar a la última versión disponible. No obstante, según se informa en el post del blog de FreePBX, esta actualización puede dar problemas a sistemas con versiones de PHP anteriores a la 5.3 y FreePBX 2.11, que deben aplicar adicionalmente el parche propuesto en el ticket 7130.
Detalle e impacto potencial de la vulnerabilidad detectada
Los sistemas PBX vulnerables permitirían la ejecución remota de código, que podría resultar en daños graves para el sistema o extracción de contraseñas y otras credenciales accesibles para el usuario apache (en la mayoría de los sistemas, "asterisk").
Más  información
Fuente: INTECO