Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2023-26567

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-522 Credenciales insuficientemente protegidas
Fecha de publicación:
26/04/2023
Última modificación:
03/02/2025

Descripción

*** Pendiente de traducción *** Sangoma FreePBX 1805 through 2302 (when obtained as a ,.ISO file) places AMPDBUSER, AMPDBPASS, AMPMGRUSER, and AMPMGRPASS in the list of global variables. This exposes cleartext authentication credentials for the Asterisk Database (MariaDB/MySQL) and Asterisk Manager Interface. For example, an attacker can make a /ari/asterisk/variable?variable=AMPDBPASS API call.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:sangoma:freepbx_linux_7:1805:*:*:*:*:*:*:*
cpe:2.3:a:sangoma:freepbx_linux_7:1904:*:*:*:*:*:*:*
cpe:2.3:a:sangoma:freepbx_linux_7:1910:*:*:*:*:*:*:*
cpe:2.3:a:sangoma:freepbx_linux_7:2002:*:*:*:*:*:*:*
cpe:2.3:a:sangoma:freepbx_linux_7:2008:*:*:*:*:*:*:*
cpe:2.3:a:sangoma:freepbx_linux_7:2011:*:*:*:*:*:*:*
cpe:2.3:a:sangoma:freepbx_linux_7:2104:*:*:*:*:*:*:*
cpe:2.3:a:sangoma:freepbx_linux_7:2105:*:*:*:*:*:*:*
cpe:2.3:a:sangoma:freepbx_linux_7:2109:*:*:*:*:*:*:*
cpe:2.3:a:sangoma:freepbx_linux_7:2112:*:*:*:*:*:*:*
cpe:2.3:a:sangoma:freepbx_linux_7:2201:*:*:*:*:*:*:*
cpe:2.3:a:sangoma:freepbx_linux_7:2202:*:*:*:*:*:*:*
cpe:2.3:a:sangoma:freepbx_linux_7:2203:*:*:*:*:*:*:*
cpe:2.3:a:sangoma:freepbx_linux_7:2302:*:*:*:*:*:*:*