漏洞信息详情

Fat Free CRM 跨站脚本漏洞

• CNNVD编号：CNNVD-201409-508
• 危害等级： 中危
  
• CVE编号： CVE-2014-5441
• 漏洞类型： 跨站脚本
• 发布时间： 2014-09-15
• 威胁类型： 远程
• 更新时间： 2014-09-15
• 厂        商： fatfreecrm
• 漏洞来源：

漏洞简介

Fat Free CRM是一套开源的基于Ruby on Rails的客户关系管理平台。该平台包含团队协作、客户管理、联系人列表、客户跟踪等模块。

Fat Free CRM 0.13.3之前版本的app/views/layouts/application.HTML.haml文件中存在跨站脚本漏洞。远程攻击者可通过create或edit user操作中的‘username’、‘first name’或‘last name’参数利用该漏洞注入任意Web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://github.com/fatfreecrm/fat_free_crm/wiki/XSS-vulnerability-%2826th-August-2014%29

参考网址

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/127978/Fatt-Free-CRM-Cross-Site-Scripting.HTML

来源:github.com

链接:https://github.com/fatfreecrm/fat_free_crm/wiki/XSS-vulnerability-%2826th-August-2014%29

来源:github.com

链接:https://github.com/fatfreecrm/fat_free_crm/commit/95464495f1e3e714d5c295fe621af5d2e0d4238d

受影响实体

• Fatfreecrm Fat_free_crm:0.13.0  
• Fatfreecrm Fat_free_crm:0.12.1  
• Fatfreecrm Fat_free_crm:0.12.0  
• Fatfreecrm Fat_free_crm:0.11.4  
• Fatfreecrm Fat_free_crm:0.11.2  

补丁

• fat_free_crm-0.13.3
• fat_free_crm-0.13.3