发布日期：2010-01-18
更新日期：2010-01-19

受影响系统：

FreePBX FreePBX 2.5.x

不受影响系统：

FreePBX FreePBX 2.6

描述：

---

BUGTRAQ  ID: 37848

FreePBX之前被称为Asterisk Management Portal，是IP电话工具Asterisk的标准化实现，可提供Web配置界面和其他工具。

可以访问FreePBX的administrators部分的用户可以通过查看html源码获得其他用户的管理员口令。

<*来源：Ivan Huertas
  
  链接：http://marc.info/?l=full-disclosure&m=126385051617393&w=2
        http://secunia.com/advisories/38266/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<a href=# class="info">Password<span>Create a password for this new
user</span></a>:
</td><td>
<input type="password" size="20" name="password" value="admin" tabindex="2"/>
</td>

建议：

---

厂商补丁：

FreePBX
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://mirror.freepbx.org/freepbx-2.6.0.tar.gz

浏览次数：2497
严重程度：0（网友投票）