Logiciel De Surveillance Voipmonitor

Des failles de sécurité critiques ont été découvertes dans Moniteur VoIP logiciel qui, s’il est exploité avec succès, pourrait permettre à des attaquants non authentifiés d’élever les privilèges au niveau administrateur et d’exécuter des commandes arbitraires.

À la suite d’une divulgation responsable par des chercheurs de Kerbitune société éthiopienne de tests d’intrusion et de recherche sur la vulnérabilité, le 15 décembre 2021, les problèmes ont été résolus dans version 24.97 de l’interface graphique WEB livrée le 11 janvier 2022.

« [F]ix vulnérabilités critiques – de nouvelles injections SQL pour les utilisateurs non authentifiés permettant d’obtenir des privilèges d’administrateur », ont noté les responsables de VoIPmonitor dans le journal des modifications.

Sauvegardes Github Automatiques

VoIPmonitor est un renifleur de paquets réseau open source avec une interface commerciale pour les protocoles SIP RTP et RTCP VoIP fonctionnant sous Linux, permettant aux utilisateurs de surveiller et de dépanner la qualité des appels SIP VoIP ainsi que de décoder, lire et archiver les appels dans un CDR base de données.

Les trois failles identifiées par Kerbit sont ci-dessous –

Publicité
  • CVE-2022-24259 (Score CVSS : 9,8) – Un bogue de contournement d’authentification dans le composant « cdr.php » de l’interface graphique qui permet à un attaquant non authentifié d’élever des privilèges via une requête spécialement conçue.
  • CVE-2022-24260 (Score CVSS : 9,8) – Une vulnérabilité d’injection SQL qui se produit dans les composants « api.php » et « utilities.php » de l’interface graphique et qui permet aux attaquants d’élever les privilèges au niveau administrateur et de récupérer des données sensibles.
  • CVE-2022-24262 (Score CVSS : 7,8) – Une exécution de commande à distance via la fonctionnalité de restauration de la configuration de l’interface graphique en raison d’une vérification manquante des formats de fichier d’archive, permettant à un acteur malveillant d’exécuter des commandes arbitraires via un fichier spécialement conçu.

« La principale raison pour laquelle le seul bogue ici est le fait que nous sommes autorisés à télécharger n’importe quelle extension de fichier et que nous pouvons accéder aux fichiers téléchargés pour les faire exécuter », a déclaré le chercheur de Kerbit, Daniel Eshetu, qui a découvert les failles. -en haut.


Rate this post
Publicité
Article précédentLa fuite de « Fortnite » suggère qu’Ezio d’Assassin’s Creed arrive dans le jeu
Article suivantUtilisation élevée du processeur, de la mémoire et du processeur graphique du nouveau monde [Fixed]
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici