正文

Vtiger CRM任意文件上传漏洞

admin
admin V管理员 /0 评论 /26 阅读
0425
此篇文章发布距今已超过1098天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2016-1713

利用情况

暂无

补丁情况

N/A

披露时间

2017-04-15
漏洞描述
Vtiger CRM是美国Vtiger公司的一套基于SugarCRM开发的客户关系管理系统(CRM)。该管理系统提供管理、收集、分析客户信息等功能。
Vtiger CRM 6.4.0版本中的modules/Settings/Vtiger/actions/CompanyDetailsSave.php文件的'Settings_Vtiger_CompanyDetailsSave_Action'类存在任意文件上传漏洞。远程攻击者可通过上传特制的图像文件利用该漏洞执行任意代码。
解决建议
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
https://www.vtiger.com/crm/
参考链接
http://b.fl7.de/2016/01/vtiger-crm-6.4-auth-rce.html
http://www.openwall.com/lists/oss-security/2016/01/12/4
http://www.openwall.com/lists/oss-security/2016/01/12/7
https://www.exploit-db.com/exploits/44379/
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 vtiger vtiger_crm 6.4.0 -
CVSS3评分 7.3
  • 攻击路径 本地
  • 攻击复杂度 低
  • 权限要求 低
  • 影响范围 未更改
  • 用户交互 需要
  • 可用性 高
  • 保密性 高
  • 完整性 高
CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-434 危险类型文件的不加限制上传