开源呼叫中心软件 GOautodial 存在两个漏洞,可导致RCE
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
开源呼叫中心软件 GOautodial 修复了两个可导致信息泄露和远程代码执行(RCE)的漏洞(CVE-2021-43175和CVE-2021-43176)。GOautodial 的用户遍布全球,共计5万名。
01
CVE-2021-43175
该漏洞被评估为“中危”级别。API 路由器接受路由至其它PHP文件的用户名、密码和操作,用于执行多个API函数。
然而,易受攻击的 GOautodial 错误地验证用户名和密码,使得呼叫员能够为这些参数制定任意值并成功验证。这就使得呼叫员能够命名并呼叫第二个PHP文件,而无需提供GOautodial系统的任何有效凭据。
发现该漏洞的研究员 Scott Tolley 指出,“第一个漏洞即GOautodial API 验证损坏,可使对 GOautodial 服务器具有网络访问权限的攻击者从中请求配置数据,无需任何有效的用户账户或密码。配置数据包括敏感数据如其它服务和应用程序的默认密码,可被攻击者用于攻击系统的其它组件。”它可能包括网络上的其它相关系统如 VoIP 电话或服务。
02
CVE-2021-43176
另外一个漏洞 CVE-2021-43176 可使任何级别的认证用户执行远程代码,获得对服务器上 GOautodial 应用程序的完全控制权限。该漏洞为高危级别,可使攻击者窃取员工和客户的数据,甚至覆写应用程序引入恶意行为。
Tolley 指出,“第二个漏洞是远程代码执行漏洞,可使软件的普通用户如呼叫中心员工肆意妄为,如删除所有数据、窃取所有数据、拦截密码、伪造信息等。该漏洞很严重,因为它意味着任何级别的用户均可损害整个呼叫中心的完整性,或者获得对此类用户账户访问权限的攻击者也可做到。“
03
影响版本
研究人员指出,早于2021年9月27日发布的 commit b951651 的 GOautodial API 版本均易受攻击,包括最新公开可用的 ISO 安装程序 GOautodial-4-x86_64-Final-20191010-0150.iso。
Tolley 指出,“具有任何技能水平的任何人均可轻松利用这两个漏洞。不过不具备技能水平的攻击者会遇到一些困难。遗憾的是,可以轻松开发并封装易于利用的 exploit 供非技术攻击者利用。“
Tolley 在9月22日报告这些漏洞,GOautodial 在10月20日修复。Tolley 表示和 GOautodial 的沟通过程很顺利,后者迅速修复了这两个漏洞。
推荐阅读
在线阅读版:《2021中国软件供应链安全分析报告》全文
美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了
软件供应链安全现状分析与对策建议
速修复!开源编辑器CKEditor 中存在两个严重XSS漏洞,影响Drupal 和其它下游应用
原文链接
https://portswigger.net/daily-swig/goautodial-vulnerabilities-put-call-center-network-security-on-the-line
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
开源呼叫中心软件 GOautodial 存在两个漏洞,可导致RCE相关推荐
- OKCC呼叫中心软件是什么
呼叫中心软件是一种基于云的业务通信软件,它通过优化呼叫流程.让客户获得更好更快的帮助以及自动化业务流程的功能来改进呼叫量管理. 呼叫中心软件主要分为三种类型: 呼入式 呼出式 混合式 呼入呼叫中心接收 ...
- html通用的排班方法,呼叫中心排班的两种主要方法
除了很多小型呼叫中心仍然采用手工或借助EXCEL进行日常排班外,大部分呼叫中心采用了一种或两种业界主流的排班计算方法:基于Erlang的计算方法和计算机模拟方法. 基于Erlang的计算方法通过计算静 ...
- 开源自动化服务器软件 Jenkins 被曝严重漏洞,可泄露敏感信息
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周一,热门开源自动化服务器软件 Jenkins 发布安全公告称,Jetty web 服务器中存在一个严重漏洞,可导致内存损坏并导致机 ...
- 基于快速原型模型建立商业呼叫中心SPOMP的应用研究
摘要:本文从快速原型(Rapid Prototyping,RP)这一软件生命周期模型的原理出发,结合呼叫中心(Call Center,CC)软件项目外包的现状,提出应用快速原型模型于呼叫中心软件项目的 ...
- 工业互联网巨头 GE Digital 修复SCADA 软件中的两个高危漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GE Digital 发布补丁和缓解措施,解决了影响 Proficy CIMPLICITY HMI/SCADA 软件的两个高危漏洞.该软件用于全 ...
- 公司业务系统与呼叫中心系统的对接方式
很多公司在搭建呼叫中心时都需要对接原本就有的业务系统,需要把原有的系统数据与呼叫中心系统对接,实现数据互通,更便于开展工作.下面我们就来了解下呼叫中心软件与业务系统是如何对接的. 由于每个项目的实际情 ...
- 小型呼叫中心系统搭建
在今天的商业环境下,很多企业需要一种高效而又灵活的呼叫中心系统,以方便快速地联系客户.对于小型企业来说,部署一个完整的呼叫中心系统可能会很昂贵,因此,一种适合小型企业的呼叫中心系统显得格外重要.在这种 ...
- 人工智能在语音和数字图像处理领域有哪些具体化应用_智能呼叫中心系统有哪些优势...
近年来,随着科技的发展特别是人工智能技术.云计算.大数据的到来,新技术逐渐渗入人们日常生活中的各行各业里面,以机器人来代替人工处理繁重的任务变得普遍.在人工智能时代下,新一代智能呼叫中心系统应运而生, ...
- 云计算呼叫中心_干货|云呼叫中心系统和传统呼叫中心系统的区别在哪?
随着社会的发展,呼叫中心由传统的呼叫中心逐渐发展为云呼叫中心.然而关于这两者的区别,您知道吗?跟随畅远技术一同来了解一下吧...... 一.购买.安装不同 传统呼叫中心软件在配置方面有几个特点:一次购 ...
最新文章
- 吴恩达桃李满天下:包括他自己的老爹
- before vue路由钩子_vue组件级路由钩子函数介绍,及实际应用
- 那些德艺双馨的网站列表-updating
- C语言 | 编程实现2
- 大数据架构师训练营学习笔记
- Spring5的核心容器
- 【声传播】——球面波的反射
- 【杂题总汇】HDU-6406 Taotao Picks Apples
- 2022年最受欢迎的7种机器学习的编程语言汇总排名详解
- 零基础学C/C++40——鸡兔同笼
- 关于sourcetree这是一个无效源路径的解决办法
- 【ROM制作工具】如何精简ROM?快速精简ROM详细教程!
- Weakly-Supervised Semantic Segmentation via Sub-category Exploration
- C++--名字空间的定义
- 前端 什么是响应式设计
- 图像数据增强及其对应的标签扩充
- 如何在采购管理中最大化利用技术?
- JAVA中如何创建一个文件
- Mac OSX 好用的解压软件
- 文章标题 SPOJ - DRUIDEOI : Fata7y Ya Warda!(单调栈)