CVE-2025-34332: AudioCodes Faks Sunucusu ve Otomatik Santral (IVR) cihazlarının 2.6.23 ve önc… | Microsoft Guvenlik Uyarisi

Aciklama

AudioCodes Faks Sunucusu ve Otomatik Santral IVR cihazlarının 2.6.23 ve önceki sürümleri, C:\\F2MAdmin\\F2E\\AudioCodes_files\\utils\\Services dizininde bulunan yardımcı toplu iş (batch) betikleri aracılığıyla arka uç Windows hizmetlerini kontrol eden bir web yönetim bileşeni içerir. ajaxPost.php üzerinden belirli hizmet eylemleri talep edildiğinde, bu betikler PHP tarafından NT AUTHORITY\\SYSTEM hesabı altında system() işlevi kullanılarak çalıştırılır. Bu dizindeki toplu iş dosyaları, aşırı izinli ACL’ler nedeniyle kimliği doğrulanmış herhangi bir yerel kullanıcı tarafından yazılabilir durumdadır; bu da kullanıcıların betik içeriğini keyfi komutlarla değiştirmesine olanak tanır. Bir sonraki hizmet başlatma/durdurma işleminde, değiştirilmiş betik SYSTEM yetkileriyle çalıştırılır ve yerel ayrıcalıkların yükseltilmesini sağlar.

Kaynak: https://nvd.nist.gov/vuln/detail/CVE-2025-34332

NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-34332

---

Bu bilgiler yalnizca bilgilendirme amaciyla yayinlanmaktadir. Guncelleme ve yama islemleri icin ureticinin resmi kaynaklarini takip ediniz. firewallpazari.com bu bilgilerin dogrulugundan sorumlu tutulamaz.