CVE-2025-34328: AudioCodes Faks Sunucusu ve Otomatik Santral IVR cihazlarının 2.6.23 ve öncek… | Microsoft Guvenlik Uyarisi

Aciklama

AudioCodes Faks Sunucusu ve Otomatik Santral (IVR) cihazlarının 2.6.23 ve önceki sürümlerinde, web yönetim bileşeni (F2MAdmin) içerisinde kimlik doğrulaması gerektirmeyen bir betik yönetimi uç noktası bulunmaktadır (AudioCodes_files/utils/IVR/diagram/ajaxScript.php). saveScript eylemi, saldırgan tarafından sağlanan verileri doğrudan web servis hesabı yetkileriyle sunucu tarafındaki bir dosya yoluna yazar; bu hesap Windows dağıtımlarında NT AUTHORITY\\SYSTEM olarak çalışır. Uzaktan, kimlik doğrulaması yapılmamış bir saldırgan, ürünün web erişimli dizin yapısına keyfi dosyalar yazabilir ve ardından bu dosyaları çalıştırabilir.

Kaynak: https://nvd.nist.gov/vuln/detail/CVE-2025-34328

NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-34328

---

Bu bilgiler yalnizca bilgilendirme amaciyla yayinlanmaktadir. Guncelleme ve yama islemleri icin ureticinin resmi kaynaklarini takip ediniz. firewallpazari.com bu bilgilerin dogrulugundan sorumlu tutulamaz.