Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el archivo app/call_centers/cmd.php en el Call Center Queue Module en FusionPBX (CVE-2019-16964)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
21/10/2019
Última modificación:
24/08/2020

Descripción

El archivo app/call_centers/cmd.php en el Call Center Queue Module en FusionPBX versiones hasta 4.5.7, sufre de una vulnerabilidad de inyección de comando debido a la falta de comprobación de entrada, lo que permite a atacantes autenticados (con al menos el permiso call_center_queue_add o call_center_queue_edit) ejecutar cualquier comando en el host como www-data.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:fusionpbx:fusionpbx:*:*:*:*:*:*:*:* 4.5.7 (incluyendo)