Guvenlik Aciklari, Microsoft
CVE-2025-34328: AudioCodes Faks Sunucusu ve Otomatik Santral IVR cihazlarının 2.6.23 ve öncek… | Microsoft Guvenlik Uyarisi
| CVE ID | CVE-2025-34328 |
| Vendor | Microsoft |
| Ciddiyet | KRITIK |
| CVSS Skoru | 9.8/10 |
| Yayin Tarihi | 19.11.2025 |
Aciklama
AudioCodes Faks Sunucusu ve Otomatik Santral (IVR) cihazlarının 2.6.23 ve önceki sürümlerinde, web yönetim bileşeni (F2MAdmin) içerisinde kimlik doğrulaması gerektirmeyen bir betik yönetimi uç noktası bulunmaktadır (AudioCodes_files/utils/IVR/diagram/ajaxScript.php). saveScript eylemi, saldırgan tarafından sağlanan verileri doğrudan web servis hesabı yetkileriyle sunucu tarafındaki bir dosya yoluna yazar; bu hesap Windows dağıtımlarında NT AUTHORITY\\SYSTEM olarak çalışır. Uzaktan, kimlik doğrulaması yapılmamış bir saldırgan, ürünün web erişimli dizin yapısına keyfi dosyalar yazabilir ve ardından bu dosyaları çalıştırabilir.
Kaynak: https://nvd.nist.gov/vuln/detail/CVE-2025-34328
NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-34328
Bu bilgiler yalnizca bilgilendirme amaciyla yayinlanmaktadir. Guncelleme ve yama islemleri icin ureticinin resmi kaynaklarini takip ediniz. firewallpazari.com bu bilgilerin dogrulugundan sorumlu tutulamaz.
