开源呼叫中心软件 GOautodial 存在两个漏洞，可导致RCE

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

该漏洞被评估为“中危”级别。API 路由器接受路由至其它PHP文件的用户名、密码和操作，用于执行多个API函数。

然而，易受攻击的 GOautodial 错误地验证用户名和密码，使得呼叫员能够为这些参数制定任意值并成功验证。这就使得呼叫员能够命名并呼叫第二个PHP文件，而无需提供GOautodial系统的任何有效凭据。

发现该漏洞的研究员 Scott Tolley 指出，“第一个漏洞即GOautodial API 验证损坏，可使对 GOautodial 服务器具有网络访问权限的攻击者从中请求配置数据，无需任何有效的用户账户或密码。配置数据包括敏感数据如其它服务和应用程序的默认密码，可被攻击者用于攻击系统的其它组件。”它可能包括网络上的其它相关系统如 VoIP 电话或服务。

另外一个漏洞 CVE-2021-43176 可使任何级别的认证用户执行远程代码，获得对服务器上 GOautodial 应用程序的完全控制权限。该漏洞为高危级别，可使攻击者窃取员工和客户的数据，甚至覆写应用程序引入恶意行为。

Tolley 指出，“第二个漏洞是远程代码执行漏洞，可使软件的普通用户如呼叫中心员工肆意妄为，如删除所有数据、窃取所有数据、拦截密码、伪造信息等。该漏洞很严重，因为它意味着任何级别的用户均可损害整个呼叫中心的完整性，或者获得对此类用户账户访问权限的攻击者也可做到。“

研究人员指出，早于2021年9月27日发布的 commit b951651 的 GOautodial API 版本均易受攻击，包括最新公开可用的 ISO 安装程序 GOautodial-4-x86_64-Final-20191010-0150.iso。

Tolley 指出，“具有任何技能水平的任何人均可轻松利用这两个漏洞。不过不具备技能水平的攻击者会遇到一些困难。遗憾的是，可以轻松开发并封装易于利用的 exploit 供非技术攻击者利用。“

Tolley 在9月22日报告这些漏洞，GOautodial 在10月20日修复。Tolley 表示和 GOautodial 的沟通过程很顺利，后者迅速修复了这两个漏洞。