1. 通告信息

近日，安识科技A-Team团队监测发现研究人员公开披露漏洞，披露了VolPmonitor GUI跨站脚本漏洞。未经身份验证的攻击者可以通过发送恶意 SIP 消息在目标系统上执行恶意代码，甚至获得对目标系统的持久后门访问。

VoIPmonitor是开源的网络数据包嗅探器软件，可抓包分析SIP和RTP等协议。研究人员通过将User-Agent设置为<img src=x alert(1)>，如果它在 DOM 中呈现，浏览器将无法获取下/x的图像，并在失败时执行恶意代码。并且研究人员利用此漏洞创建了一个后门管理用户，将临时权限提升为永久管理员访问权限。

对此，安识科技建议广大用户及时做好软件补丁更新，并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

未经身份验证的攻击者可以通过发送恶意 SIP 消息在目标系统上执行恶意代码，甚至获得对目标系统的持久后门访问。

3. 漏洞危害

攻击者可以利用此漏洞执行恶意代码，甚至获得对目标系统的持久后门访问，存在极大的危害。

4. 影响版本

VoIPmonitor GUI

5. 解决方案

VoIPmonitor GUI已经发布了此漏洞的安全补丁，建议尽快升级到最新版本。

下载链接：

http://www.voipmonitor.org/download?WHMCSwxPBfGDQsX5v=t8vcrgugv6jq8uukuk0gf3untr

通用安全建议：

对输入或输出进行编码；

建议在应用程序中使用单一编码策略，避免双重编码或双重解码破坏界面或导致XSS攻击；

如果用户输入具有预期的格式、结构和可接受的值，请首先验证这些并过滤无效输入。

针对DOM-XSS等客户端输入进行转义和编码。

6. 时间轴

【-】2021年6月10日  研究人员公开披露漏洞

【-】2021年6月19日 安识科技A-Team团队根据官方公告分析

【-】2021年6月20日 安识科技A-Team团队发布安全通告

本文作者：安识科技

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/161584.html