VULHUB ™

FreePBX（前称Asterisk Management Portal）是FreePBX项目的一套通过GUI（基于网页的图形化接口）配置Asterisk（IP电话系统）的工具。 FreePBX的User Portal(ARI)和Reports应用中存在多个跨站脚本和跨站请求伪造漏洞，通过认证的用户可以利用这些漏洞注入脚本代码或获取敏感信息。对于有效和无效用户名的登录尝试，FreePBX会返回不同的出错消息，因此攻击者可以枚举出有效的用户名。

FreePBX（前称Asterisk Management Portal）是FreePBX项目的一套通过GUI（基于网页的图形化接口）配置Asterisk（IP电话系统）的工具。 FreePBX的User Portal(ARI)和Reports应用中存在多个跨站脚本和跨站请求伪造漏洞，通过认证的用户可以利用这些漏洞注入脚本代码或获取敏感信息。对于有效和无效用户名的登录尝试，FreePBX会返回不同的出错消息，因此攻击者可以枚举出有效的用户名。