Plataforma
php
Componente
arimanager
Corregido en
13.0.6
13.0.6
13.0.6
13.0.6
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en FreePBX ariManager, afectando a las versiones desde 13.0.5.0 hasta 13.0.5.3. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la seguridad de los usuarios. La actualización a la versión 13.0.5.4, que incluye el parche 199dea7cc7020d3c469a86a39fbd80f5edd3c5ab, resuelve este problema.
La vulnerabilidad XSS en FreePBX ariManager permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario autenticado. Esto podría resultar en el robo de cookies de sesión, permitiendo al atacante hacerse pasar por el usuario. Además, el atacante podría redirigir al usuario a sitios web maliciosos, inyectar contenido falso en la interfaz de FreePBX o incluso realizar acciones en nombre del usuario, como modificar configuraciones o acceder a información sensible. La explotación exitosa de esta vulnerabilidad podría tener un impacto significativo en la confidencialidad, integridad y disponibilidad del sistema FreePBX.
Esta vulnerabilidad fue publicada en diciembre de 2022. No se ha reportado explotación activa en entornos reales, pero la naturaleza de la vulnerabilidad XSS la hace susceptible a ataques automatizados. Es importante aplicar la actualización lo antes posible para reducir el riesgo de exposición. La vulnerabilidad está catalogada en la base de datos VDB-216878.
Organizations utilizing FreePBX with ariManager versions 13.0.5.0 through 13.0.5.3 are at risk. This includes businesses relying on FreePBX for their telephony infrastructure, particularly those with publicly accessible ariManager instances or those with limited security monitoring in place.
• php: Examine FreePBX logs for unusual activity or attempts to access the Views Handler component with suspicious dataurl parameters. Use grep to search for patterns resembling JavaScript code within log files.
grep -i 'script|alert' /var/log/freepbx/logs/*discovery
disclosure
kev
Estado del Exploit
EPSS
0.39% (60% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar FreePBX ariManager a la versión 13.0.5.4 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sistema antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) para filtrar solicitudes que contengan patrones sospechosos en el parámetro dataurl. Además, revise las configuraciones de seguridad de FreePBX para asegurar que se apliquen las mejores prácticas, como la validación de entradas y la codificación de salidas.
Actualice el módulo arimanager a la versión 13.0.5.4 o superior. Esta actualización corrige una vulnerabilidad de Cross-Site Scripting (XSS) que podría permitir la ejecución de código malicioso en el navegador de los usuarios. La actualización se puede realizar a través de la interfaz de administración de FreePBX.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-25090 is a cross-site scripting vulnerability in FreePBX ariManager versions 13.0.5.0–13.0.5.3, allowing attackers to inject malicious scripts.
You are affected if you are running FreePBX ariManager versions 13.0.5.0 through 13.0.5.3. Upgrade to 13.0.5.4 or later to resolve the issue.
Upgrade FreePBX ariManager to version 13.0.5.4 or later. Apply the patch with identifier 199dea7cc7020d3c469a86a39fbd80f5edd3c5ab.
There is currently no evidence of active exploitation campaigns targeting CVE-2019-25090, but the vulnerability's nature makes it easily exploitable.
Refer to the FreePBX security advisories and release notes for details on this vulnerability and the corresponding fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.