Podatność improper input validation w komponencie Web Control systemu Avaya IP Office umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnych poleceń lub kodu na serwerze. Krytyczny wynik CVSS 10.0 odzwierciedla pełny zakres możliwych skutków bez jakichkolwiek warunków wstępnych.
▸ Pokaż oryginał (EN)
An improper input validation vulnerability was discovered in Avaya IP Office that could allow remote command or code execution via a specially crafted web request to the Web Control component. Affected versions include all versions prior to 11.1.3.1.
Atakujący wysyła specjalnie spreparowane żądanie HTTP do komponentu Web Control systemu Avaya IP Office. Brak poprawnej walidacji danych wejściowych pozwala na przemycenie złośliwych danych, które są następnie interpretowane i wykonywane przez system jako polecenia lub kod. Atak nie wymaga uwierzytelnienia ani interakcji ze strony użytkownika, a jego skutki wykraczają poza granice atakowanego komponentu (scope changed).
Atakujący może uzyskać pełną kontrolę nad systemem, w tym odczytać i zmodyfikować poufne dane oraz zakłócić dostępność usług — co odpowiada maksymalnemu poziomowi wpływu na poufność, integralność i dostępność.
Należy jak najszybciej zaktualizować Avaya IP Office do wersji 11.1.3.1 lub nowszej. Szczegółowe informacje o patchu dostępne są w oficjalnym biuletynie bezpieczeństwa Avaya pod adresem: https://download.avaya.com/css/public/documents/101090768
Wszystkie wersje Avaya IP Office wcześniejsze niż 11.1.3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HAvaya Ip Office
APPAvaya< 11.1.3.1
Powiązane podatności
Unrestricted file upload umożliwiający RCE w Avaya IP Office (One-X)
Buffer overflow in the SoftConsole client in Avaya IP Office before 10.1.1 allows remote servers to execute ar...
A privilege escalation vulnerability was discovered in Avaya IP Office Admin Lite and USB Creator that may pot...
A vulnerability was discovered in the web interface component of IP Office that may potentially allow a remote...
A Null pointer dereference vulnerability exists in Mozilla Network Security Services due to a missing NULL che...