漏洞信息详情
vtiger CRM 多个目录遍历漏洞
- CNNVD编号:CNNVD-200909-361
- 危害等级: 中危
- CVE编号: CVE-2009-3249
- 漏洞类型: 路径遍历
- 发布时间: 2009-09-18
- 威胁类型: 远程
- 更新时间: 2009-09-22
- 厂 商: vtiger
- 漏洞来源: Giovanni "evilaliv...
漏洞简介
vtiger CRM 5.0.4版本中存在多个目录遍历漏洞。远程攻击者可以借助(1)对graph.php的模块参数; 或(2)模块或(3)对include/Ajax/CommonAjax.php的可以从modules/Campaigns/CampaignsAjax.php,modules/SalesOrder/SalesOrderAjax.php,modules/System/SystemAjax.php,modules/Products/ProductsAjax.php,modules/uploads/uploadsAjax.php,modules/Dashboard/DashboardAjax.php,modules/Potentials/PotentialsAjax.php,modules/Notes/NotesAjax.php, modules/Faq/FaqAjax.php, odules/Quotes/QuotesAjax.php,modules/Utilities/UtilitiesAjax.php,modules/Calendar/ActivityAjax.php,modules/Calendar/CalendarAjax.php,modules/PurchaseOrder/PurchaseOrderAjax.php,modules/HelpDesk/HelpDeskAjax.php,modules/Invoice/InvoiceAjax.php,modules/Accounts/AccountsAjax.php,modules/Reports/ReportsAjax.php,modules/Contacts/ContactsAjax.php以及modules/Portal/PortalAjax.php中获得的文件参数中的一个..,包括和执行任意本地文件;远程认证用户可以借助对(4)Accounts,(5)Contacts,(6) elpDesk,(7)Leads,(8)Potentials,(9)Products,或(10)Vendors模块并可以从index.php和modules/Import/index.php和多个Import.php文件中获得的一个输入操作的step参数的..,包括和执行任意本地文件。
漏洞公告
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.vtiger.com
参考网址
来源: VUPEN 名称: ADV-2009-2319 链接:http://www.vupen.com/english/advisories/2009/2319 来源: MISC 链接:http://www.ush.it/team/ush/hack-vtigercrm_504/vtigercrm_504.txt 来源: MISC 链接:http://www.ush.it/2009/08/18/vtiger-crm-504-multiple-vulnerabilities/ 来源: BID 名称: 36062 链接:http://www.securityfocus.com/bid/36062 来源: OSVDB 名称: 57239 链接:http://www.osvdb.org/57239 来源: MILW0RM 名称: 9450 链接:http://www.milw0rm.com/exploits/9450 来源: SECUNIA 名称: 36309 链接:http://secunia.com/advisories/36309 来源: BUGTRAQ 名称: 20090818 Vtiger CRM 5.0.4 Multiple Vulnerabilities 链接:http://marc.info/?l=bugtraq&m=125060676515670&w=2
受影响实体
- Vtiger Vtiger_crm:5.0.4
补丁
暂无
评论