发布日期：2025-07-10
更新日期：2025-09-08

受影响系统：

VICIdial VICIdial >= 2.9 RC1 <= 2.13 RC1

描述：

---

CVE(CAN) ID: CVE-2025-34099

VICIdial是VICIdial公司的一个软件套件，旨在与Asterisk开源 Pbx电话系统交互，作为一个完整的呼入/呼出联络中心套件，同时支持呼入电子邮件。
VICIdial 2.9 RC1至2.13 RC1版本的vicidial_sales_viewer.php组件存在命令注入漏洞，该漏洞源于HTTP基础认证密码未经过滤就传输至exec()，远程攻击者可利用该漏洞以网页服务器用户身份注入并执行任意操作系统命令。

<**>

建议：

---

厂商补丁：

VICIdial
--------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
http://www.vicidial.com/

浏览次数：20
严重程度：0（网友投票）