发布日期：2010-01-18
更新日期：2010-01-19

受影响系统：

FreePBX FreePBX 2.6
FreePBX FreePBX 2.5.x

描述：

---

BUGTRAQ  ID: 37849

FreePBX之前被称为Asterisk Management Portal，是IP电话工具Asterisk的标准化实现，可提供Web配置界面和其他工具。

FreePBX的Inbound Route描述部分存在存储式跨站脚本漏洞。已登录用户可以在描述字段输入恶意代码，之后用户查看该页面时就会执行所注入的内容。

<*来源：Ivan Huertas
  
  链接：http://marc.info/?l=full-disclosure&m=126385069917627&w=2
        http://secunia.com/advisories/38300/
*>

建议：

---

厂商补丁：

FreePBX
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.freepbx.org/v2/changeset/8589
http://www.freepbx.org/v2/changeset/8590
http://www.freepbx.org/v2/changeset/8591

浏览次数：1947
严重程度：0（网友投票）