Lectores les escribo para comentarles acerca de una nueva vulnerabilidad descubierta hace pocos días en las plantas PBX Elastix, la cual esta basada en la inyección de código XSS, esto dentro de la interfaz de administracion web de esta distribucion.
la vulnerabilidad esta presente en el valor de la variable “filter_value”, algo curioso de esta vulnerabilidad radica que no se requiere completar tags de la estructura web para no cambiar la apariencia del sitio, basta simplemente con cambiar el valor de la variable, agregando nuestras propias tags.
Video realizado por: nemesis, Busy-Tone
Fuente: Busy-Tone
1 comentario:
Ayuda se bloqueo mi clave para acceso web a elastix la cambio con el comando /usr/bin/sqlite3 /var/www/db/acl.db "UPDATE acl_user SET md5_password = '`echo -n password|md5sum|cut -d ' ' -f 1`' WHERE name = 'admin'" pero no lo hace
Alguna ayuda posible....
Publicar un comentario