漏洞信息详情

X2Engine 权限许可和访问控制漏洞

• CNNVD编号：CNNVD-201410-199
• 危害等级： 中危
  
• CVE编号： CVE-2014-5298
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2014-10-14
• 威胁类型： 远程
• 更新时间： 2014-10-14
• 厂        商： x2engine
• 漏洞来源：

漏洞简介

X2Engine是美国X2Engine公司的一套开源的客户关系管理系统（CRM）。该系统提供生成销售报价、制定销售流程和快速查看联系人等功能。

X2Engine 4.1.7及之前版本的FileUploadsFilter.php脚本存在安全漏洞。当程序运行在case-insensitive文件系统上时，远程攻击者可通过上传可执行的扩展文件利用该漏洞绕过上传的黑名单，实施任意文件上传攻击。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://github.com/X2Engine/X2Engine/blob/master/CHANGELOG.md

参考网址

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2014/Sep/78

来源:github.com

链接:https://github.com/X2Engine/X2Engine/blob/master/CHANGELOG.md

来源:BUGTRAQ

链接:http://www.securityfocus.com/archive/1/archive/1/533514/100/0/threaded

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/128353/X2Engine-4.1.7-Unrestricted-File-Upload.HTML

来源:karmainsecurity.com

链接:http://karmainsecurity.com/KIS-2014-10

受影响实体

• X2engine X2engine:4.1.7  

补丁

• X2Engine-4.2
• X2Engine-4.2