漏洞信息详情
vtiger CRM config.template.php文件不完整黑名单漏洞
- CNNVD编号:CNNVD-201011-248
- 危害等级: 高危
- CVE编号: CVE-2010-3909
- 漏洞类型: 代码注入
- 发布时间: 2010-11-30
- 威胁类型: 远程
- 更新时间: 2010-11-30
- 厂 商: vtiger
- 漏洞来源:
漏洞简介
vtiger CRM 是基于web的开源客户关系管理系统。
vtiger CRM 5.2.1之前版本中的config.template.php文件中存在不完整黑名单漏洞。远程认证用户可以通过使用在Compose Mail组件中的草稿保存功能来上传带有.pHTML扩展名的文件,然后借助在storage/ directory树中对该文件的直接请求来访问该文件,从而执行任意代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://vtiger.com/blogs/2010/11/16/vtiger-crm-521-is-released/
参考网址
来源: www.ush.it
链接:http://www.ush.it/team/ush/hack-vtigercrm_520/vtigercrm_520.txt
来源: BUGTRAQ
名称: 20101116 Vtiger CRM 5.2.0 Multiple Vulnerabilities
链接:http://www.securityfocus.com/archive/1/archive/1/514846/100/0/threaded
来源: wiki.vtiger.com
链接:http://wiki.vtiger.com/index.php/Vtiger521:Release_Notes
来源: vtiger.com
链接:http://vtiger.com/blogs/2010/11/16/vtiger-crm-521-is-released/
来源: SECUNIA
名称: 42246
链接:http://secunia.com/advisories/42246
受影响实体
- Vtiger Vtiger_crm:5.0.4:Rc
- Vtiger Vtiger_crm:5.1.0:Rc
- Vtiger Vtiger_crm
- Vtiger Vtiger_crm:4:Beta
- Vtiger Vtiger_crm:3.0:Beta
补丁
- vtigercrm-5.2.1
- vtigercrm-5.2.1
- vtigercrm-510-521-patch
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论