首 页 |   |   |   |   |   |   |   |   |   |   |   |   |   |  

漏洞通报

漏洞新闻
 
   
FreePBX Inbound Route描述存储式跨站脚本漏洞(2010-01-20)
(2010-01-20 09:52:00) 系统管理员

   

发布日期:2010-01-18
更新日期:2010-01-19

受影响系统:

    FreePBX FreePBX 2.6
    FreePBX FreePBX 2.5.x

描述:BUGTRAQ  ID: 37849

FreePBX之前被称为Asterisk Management Portal,是IP电话工具Asterisk的标准化实现,可提供Web配置界面和其他工具。

FreePBX的Inbound Route描述部分存在存储式跨站脚本漏洞。已登录用户可以在描述字段输入恶意代码,之后用户查看该页面时就会执行所注入的内容。

<*来源:Ivan Huertas
 
  链接:http://marc.info/?l=full-disclosure&m=126385069917627&w=2
*>

建议:厂商补丁:

FreePBX
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.freepbx.org/v2/changeset/8589
http://www.freepbx.org/v2/changeset/8590
http://www.freepbx.org/v2/changeset/8591
 
联系我们 | 投稿栏 | 意见栏 | 招聘信息 | 站点地图
版权所有©2005 ,中国信息安全测评中心
北京市海淀区上地西路8号院1号楼 Tel:010-82341118 或 010-82341188 Fax:010-82341100
测评服务直拨电话 Tel:010-82341592    E-mail: service@itsec.gov.cn
 
通知:
第三届信息安全漏洞分析与风险评估会议(VARA 2010)