漏洞标题
N/A
漏洞描述信息
"在Asterisk Open Source 1.6.2.x 之前1.6.2.24, 1.8.x 之前1.8.11.1, 10.x 之前10.3.1 以及Asterisk Business Edition C.3.x 之前C.3.7.4 的main/manager.c 文件中,系统的类授权要求未能正确实施。这允许通过(1) MixMonitor 应用程序的发起操作,(2) GetVar 管理器操作中的 Shell 和 EVAL 函数,或(3) Status 管理器操作中的 Shell 和 EVAL 函数,对远程登录的用户执行任意命令。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
main/manager.c in the Manager Interface in Asterisk Open Source 1.6.2.x before 1.6.2.24, 1.8.x before 1.8.11.1, and 10.x before 10.3.1 and Asterisk Business Edition C.3.x before C.3.7.4 does not properly enforce System class authorization requirements, which allows remote authenticated users to execute arbitrary commands via (1) the originate action in the MixMonitor application, (2) the SHELL and EVAL functions in the GetVar manager action, or (3) the SHELL and EVAL functions in the Status manager action.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Asterisk Open Source安全漏洞
漏洞描述信息
Asterisk Open Source 1.6.2.24之前的1.6.2.x版本、1.8.11.1之前的1.8.x版本、10.3.1之前的10.x版本和Asterisk Business Edition C.3.7.4之前的C.3.x版本中的Manager Interface中的main/manager.c中存在漏洞,该漏洞源于未正确实施System class授权需求。远程认证用户可利用该漏洞借助(1)MixMonitor应用程序中的originate操作(2)GetVar管理操作中的SHELL和EV
CVSS信息
N/A
漏洞类别
授权问题