CVE-2023-1006

MITJÀ: (4,9)

CVSS3: 4,3

Audiocodes Device Manager Express podría permetre a un atacant remot autenticat canviar entre directoris del sistema. Un atacant podria enviar una sol·licitud d’URL especialment dissenyada al script BrowseFiles.php que contingui seqüències de “dot dot” (/../) per carregar arxius arbitraris al sistema i realitzar execució de codi.

Sistemes Afectats

• Audiocodes Device Manager Express 7.8.20002.47752

Remediació
No hi ha recursos disponibles amb data 27 de febrer del 2023.

Referències

• https://www.audiocodes.com/solutions-products/products/management-products-solutions/device-manager
• https://seclists.org/fulldisclosure/2023/Feb/12
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24629