Schwachstellen in VICIdial

Das Unternehmen VICIdial publizierte am 10. September 2024 ein Update für sein Open-Source-Programm VICIdial. Der Patch schließt die zwei Sicherheitslücken CVE-2024-8503 mit CVSS-Score 9.8/10 (kritisch) und CVE-2024-8504 mit CVSS-Score 8.8/10 (hoch). 

Die Schwachstellen ermöglichen Angreifenden, SQL Injections sowie OS Command Injections auszuführen, hierüber sensible Daten abzugreifen und Admin-Rechte zu erlangen. Erlangen die Kriminellen die erhöhten Rechte, können sie zudem Remote Code Execution (RCE) herbeiführen. 

Zu CVE-2024-8503 und CVE-2024-8504 existiert jeweils auch ein Proof-of-Concept (PoC), was die Ausnutzungsgefahr der Sicherheitslücken erhöht. Nutzende sollten daher umgehend das von VICIdial bereitgestellte Update installieren.

Die Software VICIdial wird laut Hersteller vor allem in Call-Centern zur Kunden-Interaktion eingesetzt und mit über 24.000 Installationen in über 100 Ländern verwendet.