Système Téléphonique En Nuage Pascom

Les chercheurs ont révélé trois vulnérabilités de sécurité affectant Pascom Cloud Phone System (SCS) qui pourraient être combinés pour obtenir une exécution complète du code à distance pré-authentifié des systèmes concernés.

Daniel Eshetu, chercheur en sécurité Kerbit mentionné les lacunes, lorsqu’elles sont enchaînées, peuvent conduire à « un attaquant non authentifié prenant racine sur ces appareils ».

Pascom Cloud Phone System est une solution intégrée de collaboration et de communication qui permet aux entreprises d’héberger et de configurer des réseaux téléphoniques privés sur différentes plates-formes, ainsi que de faciliter la surveillance, la maintenance et les mises à jour associées aux systèmes téléphoniques virtuels.

Sauvegardes Github Automatiques

L’ensemble de trois failles comprend celles résultant d’une traversée de chemin arbitraire dans l’interface Web, une falsification de requête côté serveur (SSRF) en raison d’une dépendance tierce obsolète (CVE-2019-18394), et une injection de commande post-authentification à l’aide d’un service démon (« exd.pl »).

Avvxsehzpy6Ccu2Qe1Trrvmyhs Cdqg7Qainwfuzn Avmuuytzwkfnzcng7Nuypdaqnfiobybuo1Rulwxaiuormfdzhxhesuqy Qgjk14Gyyaj0A4O2 31Gxs1Jf5Gygqhxhgg5Ghatrb V1Wguthqeiqg7U4Xyml0Y Mia2Csaottso6Yi0Hw0Zq1Z 7Hgm

En d’autres termes, les vulnérabilités peuvent être enchaînées à la manière d’une chaîne pour accéder à des points de terminaison non exposés en envoyant des requêtes GET arbitraires pour obtenir le mot de passe administrateur, puis l’utiliser pour obtenir l’exécution de code à distance à l’aide de la tâche planifiée.

Publicité
Empêcher Les Violations De Données

La chaîne d’exploitation peut être utilisée « pour exécuter des commandes en tant que root », a déclaré Eshetu, ajoutant que « cela nous donne un contrôle total de la machine et un moyen facile d’élever les privilèges ». Les failles ont été signalées à Pascom le 3 janvier 2022, après quoi des correctifs ont été publiés.

Les clients qui hébergent eux-mêmes CPS plutôt que sur le cloud sont invités à mettre à jour vers la dernière version (serveur pascom 19.21) dès que possible pour contrer toute menace potentielle.


Rate this post
Publicité
Article précédentPirate IPTV ‘Nitro TV’ ne paie pas son avocat, ACE et MPA emménagent pour le tuer * TechTribune France
Article suivantVous voulez acheter des actions Metaverse ? Que diriez-vous de certains AMZN?
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici