漏洞标题
N/A
漏洞描述信息
在DeStar 0.2.2-5版本中,用户/设置/中的静态代码注入漏洞允许远程授权用户添加任意管理员,并通过创建的pin参数将任意的Python代码注入到destar_cfg.py中。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Static code injection vulnerability in user/settings/ in DeStar 0.2.2-5 allows remote authenticated users to add arbitrary administrators and inject arbitrary Python code into destar_cfg.py via a crafted pin parameter.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Holger_Schurig Destar Add User静态代码注入漏洞
漏洞描述信息
Destar是一个基于Web界面来管理Asterisk开源程控交换软件(PBX)程序。能提供对Asterisk的高级别的提取配置管理。 DeStar 0.2.2-5版本的user/settings/中存在静态代码注入漏洞。远程验证用户可以借助一个特制的pin参数,添加任一管理员并向destar_cfg.py注入任意Python代码。
CVSS信息
N/A
漏洞类别
代码注入