Security Lab

Инклюдинг файлов в vtiger CRM

Дата публикации:11.11.2011
Дата изменения:12.11.2011
Всего просмотров:1339
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:2
CVSSv2 рейтинг: 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: vtiger CRM 5.x
Уязвимые версии: vtiger CRM 5.2.1, возможно другие версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре file. Удаленный пользователь может с помощью атак подмены директории выполнить произвольный PHP код на целевой системе.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметрах module и action. Удаленный пользователь может с помощью символов обхода директории выполнить произвольный PHP код на целевой системе.

URL производителя: http://www.vtiger.com/index.php?option=com_content&task=view&id=27&Itemid=55

Решение: Обновите продукт до версии 5.3.0 RC с сайта производителя.

Ссылки: https://www.htbridge.ch/advisory/local_file_inclusion_in_vtigercrm.html
http://vtiger.com/blogs/?p=894
Журнал изменений: a:2:{s:4:"TEXT";s:43:"12.11.2011
Незначительные изменения.";s:4:"TYPE";s:4:"html";}