CVE-2021-41408
https://notcve.org/view.php?id=CVE-2021-41408
VoIPmonitor WEB GUI up to version 24.61 is affected by SQL injection through the "api.php" file and "user" parameter. La GUI WEB de VoIPmonitor versiones hasta 24.61, está afectada por una inyección SQL mediante del archivo "api.php" y el parámetro "user" • https://gist.github.com/divinepwner/e51050e0d7df77ff1f1379583e8cf7db https://www.voipmonitor.org/changelog-gui?major=5 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2022-24262
https://notcve.org/view.php?id=CVE-2022-24262
The config restore function of Voipmonitor GUI before v24.96 does not properly check files sent as restore archives, allowing remote attackers to execute arbitrary commands via a crafted file in the web root. La función config restore de Voipmonitor GUI versiones anteriores a 24.96, no comprueba correctamente los archivos enviados como archivos de restauración, lo que permite a atacantes remotos ejecutar comandos arbitrarios por medio de un archivo diseñado en el root de la web • https://kerbit.io/research/read/blog/3 https://www.voipmonitor.org/changelog-gui?major=5 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVE-2022-24259
https://notcve.org/view.php?id=CVE-2022-24259
An incorrect check in the component cdr.php of Voipmonitor GUI before v24.96 allows unauthenticated attackers to escalate privileges via a crafted request. Una comprobación incorrecta en el componente cdr.php de Voipmonitor GUI versiones anteriores a v24.96, permite a atacantes no autenticados escalar privilegios por medio de una petición diseñada • https://kerbit.io/research/read/blog/3 https://www.voipmonitor.org/changelog-gui?major=5 • CWE-287: Improper Authentication •
CVE-2022-24260
https://notcve.org/view.php?id=CVE-2022-24260
A SQL injection vulnerability in Voipmonitor GUI before v24.96 allows attackers to escalate privileges to the Administrator level. Una vulnerabilidad de inyección SQL en Voipmonitor GUI versiones anteriores a 24.96, permite a atacantes alcanzar privilegios a nivel de administrador • https://kerbit.io/research/read/blog/3 https://www.voipmonitor.org/changelog-gui?major=5 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2021-30461
https://notcve.org/view.php?id=CVE-2021-30461
A remote code execution issue was discovered in the web UI of VoIPmonitor before 24.61. When the recheck option is used, the user-supplied SPOOLDIR value (which might contain PHP code) is injected into config/configuration.php. Se detectó un problema de ejecución de código remota en la Interfaz de Usuario web de VoIPmonitor versiones anteriores a 24.61.2020. Cuando la opción recheck es usada , el valor SPOOLDIR suministrado por el usuario (que puede contener código PHP) es inyectado en el archivo config/configuration.php • https://github.com/Al1ex/CVE-2021-30461 https://github.com/Vulnmachines/CVE-2021-30461 https://github.com/daedalus/CVE-2021-30461 https://github.com/puckiestyle/CVE-2021-30461 https://ssd-disclosure.com/ssd-advisory--voipmonitor-unauth-rce • CWE-94: Improper Control of Generation of Code ('Code Injection') •