【漏洞预警】VolPmonitor GUI跨站脚本漏洞

admin 2021年10月20日21:44:18评论100 views字数 854阅读2分50秒阅读模式


【漏洞预警】VolPmonitor GUI跨站脚本漏洞

1. 通告信息



近日,安识科技A-Team团队监测发现研究人员公开披露漏洞,披露了VolPmonitor GUI跨站脚本漏洞。未经身份验证的攻击者可以通过发送恶意 SIP 消息在目标系统上执行恶意代码,甚至获得对目标系统的持久后门访问。

VoIPmonitor是开源的网络数据包嗅探器软件,可抓包分析SIP和RTP等协议。研究人员通过将User-Agent设置为<img src=x alert(1)>,如果它在 DOM 中呈现,浏览器将无法获取下/x的图像,并在失败时执行恶意代码。并且研究人员利用此漏洞创建了一个后门管理用户,将临时权限提升为永久管理员访问权限。

对此,安识科技建议广大用户及时做好软件补丁更新,并做好资产自查以及预防工作,以免遭受黑客攻击。


【漏洞预警】VolPmonitor GUI跨站脚本漏洞

2. 漏洞概述



未经身份验证的攻击者可以通过发送恶意 SIP 消息在目标系统上执行恶意代码,甚至获得对目标系统的持久后门访问。

 

【漏洞预警】VolPmonitor GUI跨站脚本漏洞

3. 漏洞危害



攻击者可以利用此漏洞执行恶意代码,甚至获得对目标系统的持久后门访问,存在极大的危害。

 

【漏洞预警】VolPmonitor GUI跨站脚本漏洞

4. 影响版本



VoIPmonitor GUI

 

【漏洞预警】VolPmonitor GUI跨站脚本漏洞

5. 解决方案



VoIPmonitor GUI已经发布了此漏洞的安全补丁,建议尽快升级到最新版本。

下载链接:

http://www.voipmonitor.org/download?WHMCSwxPBfGDQsX5v=t8vcrgugv6jq8uukuk0gf3untr

 

通用安全建议:

对输入或输出进行编码;

建议在应用程序中使用单一编码策略,避免双重编码或双重解码破坏界面或导致XSS攻击;

如果用户输入具有预期的格式、结构和可接受的值,请首先验证这些并过滤无效输入。

针对DOM-XSS等客户端输入进行转义和编码。

 

 

【漏洞预警】VolPmonitor GUI跨站脚本漏洞

6. 时间轴



【-2021年6月10  研究人员公开披露漏洞

【-2021年6月19 安识科技A-Team团队根据官方公告分析

【-2021年6月20 安识科技A-Team团队发布安全通告


本文始发于微信公众号(SecPulse安全脉搏):【漏洞预警】VolPmonitor GUI跨站脚本漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月20日21:44:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】VolPmonitor GUI跨站脚本漏洞http://cn-sec.com/archives/402467.html

发表评论

匿名网友 填写信息