关键信息 漏洞类型: Authenticated Command Injection via TestFax.php & LPE 受影响版本: AudioCodes Fax/IVR Appliance <= 2.6.23 严重性: HIGH CVSS评分: 8.7 CVSS V4向量: CWE: CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') 参考文献: - AudioCodes EoSEoL Product Notice - Researcher Blog - Researcher Advisory 发现者: Pierre Barre 漏洞描述 AudioCodes Fax Server和Auto-Attendant IVR设备版本2.6.23及以下存在认证命令注入漏洞,该漏洞通过由AudioCodes_files/TestFax.php实现的传真测试功能进行攻击。当请求传真"发送"测试时,应用程序构建一个fакс信使命令行,使用攻击者提供的参数并传递给GlobalUtils::RunBatchFile,但缺乏适当的验证或shell参数清理。生成的批处理文件会被写入临时运行目录并由以NT AUTHORITY\\SYSTEM权限运行的后端服务执行。认证攻击者若能访问传真测试接口,可以构造参数值注入额外的shell命令到生成的批处理文件中,导致以SYSTEM权限进行任意命令执行。此外,由于生成的批处理文件位于具有过度宽松的文件系统权限的位置,服务器上的本地低权限用户也能通过修改待执行批处理文件实现同样的权限提升。