漏洞信息详情

SugarCRM重复账号和联系人信息泄露漏洞

• CNNVD编号：CNNVD-201103-216
• 危害等级： 中危
  
• CVE编号： CVE-2011-0745
• 漏洞类型： 输入验证
• 发布时间： 2011-03-17
• 威胁类型： 远程
• 更新时间： 2011-03-17
• 厂        商： sugarcrm
• 漏洞来源：

漏洞简介

SugarCRM是美国SugarCRM公司的一套开源的客户关系管理系统（CRM）。该系统支持对不同的客户需求进行差异化营销、管理和分配销售线索，实现销售代表的信息共享和追踪。

SugarCRM 6.1.3之前版本没有为由某个重复检查操作产生的警告页面，正确处理重载和重定向请求。由于浏览或者创建账号和联系人时，modules/Accounts/ShowDuplicates.php和modules/Contacts/ShowDuplicates.php脚本没有校验用户的“List”权限。远程认证用户可以利用该漏洞获取有关账号和联系人的信息。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.sugarcrm.com/crm/download/sugar-suite.HTML

参考网址

来源: BUGTRAQ

名称: 20110315 [RT-SA-2011-002] SugarCRM list privilege restriction bypass

链接:http://www.securityfocus.com/archive/1/archive/1/517027/100/0/threaded

来源: www.redteam-pentesting.de

链接:http://www.redteam-pentesting.de/advisories/rt-sa-2011-002

受影响实体

• Sugarcrm Sugarcrm:5.5.3  
• Sugarcrm Sugarcrm:5.5.2  
• Sugarcrm Sugarcrm:5.5.1  
• Sugarcrm Sugarcrm:5.5.4  
• Sugarcrm Sugarcrm:5.5a  

补丁

暂无