SpliceCom Maximiser Soft PBX w wersji 1.5 i wcześniejszych nie ogranicza liczby prób logowania, co umożliwia atakującemu ominięcie uwierzytelnienia metodą brute force. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL) i nie wymaga żadnych uprawnień ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
SpliceCom Maximiser Soft PBX v1.5 and before does not restrict excessive authentication attempts, allowing attackers to bypass authentication via a brute force attack.
System nie implementuje mechanizmów ograniczających liczbę nieudanych prób uwierzytelnienia (CWE-307 — Improper Restriction of Excessive Authentication Attempts). Atakujący może wysyłać nieograniczoną liczbę żądań logowania przez sieć, systematycznie testując kombinacje danych uwierzytelniających. Brak blokady konta, limitów czasowych ani mechanizmów CAPTCHA sprawia, że atak brute force może zostać przeprowadzony skutecznie bez żadnych przeszkód technicznych.
Skuteczny atak pozwala atakującemu uzyskać nieautoryzowany dostęp do systemu PBX, co może prowadzić do pełnego przejęcia kontroli nad centralą telefoniczną, naruszenia poufności i integralności danych oraz potencjalnego zakłócenia działania usług komunikacyjnych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wdrożenie kontroli kompensujących, takich jak ograniczenie dostępu do interfejsu logowania na poziomie firewall, wprowadzenie limitów prób logowania oraz monitorowanie anomalnych wzorców uwierzytelnienia.
SpliceCom Maximiser Soft PBX w wersji 1.5 oraz wcześniejszych.
Referencje wskazują na repozytorium GitHub użytkownika twignet/splicecom, które może zawierać dodatkowe informacje techniczne lub kod demonstracyjny podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSplicecom Maximiser Soft Pbx
APPSplicecom≤ 1.5
Powiązane podatności
Splicecom Maximiser Soft PBX v1.5 and before was discovered to contain a cross-site scripting (XSS) vulnerabil...
SpliceCom Maximiser Soft PBX v1.5 and before was discovered to utilize a default SSL certificate. This issue c...
A lack of SSL certificate validation in Splicecom iPCS (iOS App) v1.3.4, iPCS2 (iOS App) v2.8 and before, and ...