ГлавнаяБаза уязвимостей БДУ → BDU:2022-04551
10критическая

BDU:2022-04551 (CVE-2021-45461)

Уязвимость модуля Rest Phone Apps веб-интерфейса управления системами IP-телефонии FreePBX, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-07-20
Описание

Уязвимость модуля Rest Phone Apps веб-интерфейса управления системами IP-телефонии FreePBX связана с возможностью внедрения кода в переменную URL-адреса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
FreePBX (до 15.0.20)FreePBX (до 16.0.19)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение уязвимого функционала через консоль управления:
fwconsole ma delete restapps
fwconsole reload;
- использование межсетевого экрана уровня веб-приложений;
- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций:
https://wiki.freepbx.org/display/FOP/2021-12-21+SECURITY%3A+Potential+Rest+Phone+Apps+RCE

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://community.freepbx.org/t/0-day-freepbx-exploit/80092https://community.freepbx.org/t/security-issue-potential-rest-phone-apps-rce/80109https://wiki.freepbx.org/display/FOP/2021-12-21+SECURITY%3A+Potential+Rest+Phone+Apps+RCEhttps://nvd.nist.gov/vuln/detail/CVE-2021-45461
Проверьте безопасность своего сайта и почты → Полная проверка домена