miércoles, 5 de diciembre de 2018

[Zenitel] IP-StationWeb, Cross Site Script (CVE-2018-19927 & CVE-2018-19926 )


Aplicaciones web para la gestión de Telefónia IP de la firma Zenitel

Vendor: Zenitel Norway ASA
Software: 02.03.3.3 < 4.2.3.9
HW: v1




***



**


***


Credenciales por defecto (Siempre funcionan) 😈

user: admin
pass: alphaadmin


Shodan esta indexando un poco mas de 30 dispositivos




Se han encontrado dos XSS

A) XSS Reflejado (Sin necesida de estar logeado):
CVE-2018-19926




boom





B) XSS Persistente:
CVE-2018-19927

Home


Edit home



Render


poc 2:





poc 3










Saludos,

No hay comentarios.:

Publicar un comentario