Multiples failles CVE sur VICIdial

VICIdial est une plateforme opensource de call center. Elle est même très utilisée.
On trouve même dans GHDB une entrée pour les localiser.

 

				
					inurl:agc/vicidial.php 
				
			

Nous avons 5 failles CVE sur la version 2.14b0.5  update 3555.


La criticité de ces failles vont de 3.5 à 9. Nous avons deux failles CVE de type XSS et trois de type SQL INJECTION.

La ou ça devient plus inquiétant pour les utilisateurs de la solution VICIdial c est que l’on a déjà un module dans Metasploit :

auxiliary/scanner/http/vicidial_multiple_sqli

VICIdial recommande via son forum de suivre la procédure de mise à jour.

Information Valeur

CVE

CVE-2022-34878

CVE publié le

05/07/2022

Score

9

Fuite de données

Critique

Intégrité Système

Critique

Impact sur les ressources

Critique

Compléxité

Facile

Authentification requise

Non