Se han reportado 3 vulnerabilidades en la plataforma VoIPmonitor que permitirían a un atacante evadir medidas de autenticación de la aplicación con el objetivo de realizar ejecución remota de código (RCE) en el sistema afectado.
Las vulnerabilidades reportadas son las siguientes:
- CVE-2022-24259 de severidad crítica, con una puntuación de 9.8. Esta vulnerabilidad es debida a un fallo en el componente cdr.php, el cual no gestiona correctamente las sesiones de los usuarios. Un atacante remoto podría enviar una petición maliciosa con el objetivo de evadir las medidas de autenticación y obtener privilegios bajos en la aplicación.
- CVE-2022-24260 de severidad crítica, con una puntuación de 9.8. Esta vulnerabilidad es debida a un fallo en la función getUpdateUserLoginData del componente api.php, la cual no valida correctamente de los datos de entrada proveídos por el usuario. Un atacante remoto podría enviar una petición maliciosa a la aplicación y ejecutar comandos SQL arbitrarios.
- CVE-2022-24262 de severidad alta, con una puntuación de 7.8. Esta vulnerabilidad se debe a un fallo en la funcionalidad de restauración de la aplicación. Esto permitiría a un atacante autenticado remotamente restaurar la aplicación por medio de un archivo de restauración malicioso en formato “.zip”, con el objetivo de realizar ejecución remota de código (RCE).
Estas vulnerabilidades afectan a las siguientes versiones:
- VoIPmonitor anteriores a la 24.96.
Recomendamos actualizar a la última versión de VoIPmonitor provista en la siguiente guía por el fabricante:
Referencias: