Уязвимость небезопасных разрешений в asterisk v22 позволяет удаленному злоумышленнику выполнить произвольный код с помощью функции action_createconfig. ПРИМЕЧАНИЕ. Поставщик оспаривает это, поскольку воздействие ограничивается созданием пустых файлов за пределами каталога продукта Asterisk (так называемое обход каталога), а атака может быть выполнена только привилегированным пользователем, имеющим возможность управлять конфигурацией.
Показать оригинальное описание (EN)
Insecure Permissions vulnerability in asterisk v22 allows a remote attacker to execute arbitrary code via the action_createconfig function. NOTE: this is disputed by the Supplier because the impact is limited to creating empty files outside of the Asterisk product directory (aka directory traversal) and the attack can only be performed by a privileged user who has the ability to manage the configuration.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Sangoma Asterisk
cpe:2.3:a:sangoma:asterisk:*:*:*:*:*:*:*:*
|
22.0.0
|
<= 22.5.1
|