漏洞描述 VICIdial 的 Web Client 包含许多可以从客户端访问的敏感文件。这些文件包含 mysqli日志、身份验证日志、调试信息、成功和不成功的登录尝试以及相应的 IP、用户代理、凭据等等。攻击者可以利用此信息进一步访问 VICIdial 系统。此漏洞影响截至2021 年 5 月 20 日的所有版本。
相关漏洞推荐 VICIdial /VERM/VERM_AJAX_functions.php SQL 注入漏洞(CVE-2024-8503) POC CVE-2021-28854: VICIdial Sensitive Information Disclosure POC CVE-2024-8503: VICIdial - SQL Injection VICIdial CVE-2022-34878 SQL注入漏洞 VICIdial CVE-2022-34876 SQL注入漏洞 VICIdial CVE-2022-34877 SQL注入漏洞 VICIdial user_authorization-非授权命令执行