聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

开源呼叫中心软件 GOautodial 修复了两个可导致信息泄露和远程代码执行（RCE）的漏洞（CVE-2021-43175和CVE-2021-43176）。GOautodial 的用户遍布全球，共计5万名。

01

CVE-2021-43175

该漏洞被评估为“中危”级别。API 路由器接受路由至其它PHP文件的用户名、密码和操作，用于执行多个API函数。

然而，易受攻击的 GOautodial 错误地验证用户名和密码，使得呼叫员能够为这些参数制定任意值并成功验证。这就使得呼叫员能够命名并呼叫第二个PHP文件，而无需提供GOautodial系统的任何有效凭据。

发现该漏洞的研究员 Scott Tolley 指出，“第一个漏洞即GOautodial API 验证损坏，可使对 GOautodial 服务器具有网络访问权限的攻击者从中请求配置数据，无需任何有效的用户账户或密码。配置数据包括敏感数据如其它服务和应用程序的默认密码，可被攻击者用于攻击系统的其它组件。”它可能包括网络上的其它相关系统如 VoIP 电话或服务。

02

CVE-2021-43176

另外一个漏洞 CVE-2021-43176 可使任何级别的认证用户执行远程代码，获得对服务器上 GOautodial 应用程序的完全控制权限。该漏洞为高危级别，可使攻击者窃取员工和客户的数据，甚至覆写应用程序引入恶意行为。

Tolley 指出，“第二个漏洞是远程代码执行漏洞，可使软件的普通用户如呼叫中心员工肆意妄为，如删除所有数据、窃取所有数据、拦截密码、伪造信息等。该漏洞很严重，因为它意味着任何级别的用户均可损害整个呼叫中心的完整性，或者获得对此类用户账户访问权限的攻击者也可做到。“

03

影响版本

研究人员指出，早于2021年9月27日发布的 commit b951651 的 GOautodial API 版本均易受攻击，包括最新公开可用的 ISO 安装程序 GOautodial-4-x86_64-Final-20191010-0150.iso。

Tolley 指出，“具有任何技能水平的任何人均可轻松利用这两个漏洞。不过不具备技能水平的攻击者会遇到一些困难。遗憾的是，可以轻松开发并封装易于利用的 exploit 供非技术攻击者利用。“

Tolley 在9月22日报告这些漏洞，GOautodial 在10月20日修复。Tolley 表示和 GOautodial 的沟通过程很顺利，后者迅速修复了这两个漏洞。

推荐阅读

在线阅读版：《2021中国软件供应链安全分析报告》全文

美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了

软件供应链安全现状分析与对策建议

速修复！开源编辑器CKEditor 中存在两个严重XSS漏洞，影响Drupal 和其它下游应用

原文链接

https://portswigger.net/daily-swig/goautodial-vulnerabilities-put-call-center-network-security-on-the-line

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~