三大热门开源软件曝出漏洞,或影响数千企业

三大热门开源软件曝出漏洞,或影响数千企业

黑客安全访客2021-10-11 0:16:007215A+A-

日前三大热门开源项目——EspoCRM、Pimcore和Akaunting被曝出存在九个安全漏洞。研究人员指出:“这三个项目已被广泛应用于数千家企业用户,是支持其服务和云托管工作的核心应用程序。如果这些漏洞被攻击者成功利用,可能会为更复杂的攻击提供途径。”

诺基亚和Trevor的技术人员Wiktor Sędkowski表示,这些漏洞会影响EspoCRM v6.1.6、Pimcore客户数据框架v3.0.0、Pimcore AdminBundle v6.8.0和Akaunting v2.1.12,但已在相关漏洞披露后的一天内进行了修复处理。

EspoCRM是一个开源的客户关系管理(CRM) 应用程序,而Pimcore是一个用于客户数据管理、数字资产管理、内容管理和数字商务的开源企业软件平台。另一方面,Akaunting是一款开源在线会计软件,专为发票和费用跟踪而设计。

问题清单如下——

  • CVE-2021-3539(CVSS评分:6.3)- EspoCRM v6.1.6中的持久性XSS缺陷;
  • CVE-2021-31867(CVSS评分:6.5)- Pimcore客户数据框架 v3.0.0中的SQL注入;
  • CVE-2021-31869(CVSS评分:6.5)-Pimcore AdminBundle v6.8.0;
  • CVE-2021-36800(CVSS评分:8.7)-Akaunting v2.1.12中的操作系统命令注入;
  • CVE-2021-36801(CVSS评分:8.5)-Akaunting v2.1.12中的身份验证绕过;
  • CVE-2021-36802(CVSS评分:6.5)-Akaunting v2.1.12中通过用户控制的“区域设置”变量拒绝服务;
  • CVE-2021-36803(CVSS评分:6.3)-在 Akaunting v2.1.12中上传头像期间的持久性XSS;
  • CVE-2021-36804(CVSS评分:5.4)-Akaunting v2.1.12中的弱密码重置;
  • CVE-2021-36805(CVSS评分:5.2)-Akaunting v2.1.12中的发票页脚持久性XSS。

成功利用这些漏洞可以使绕过身份验证的攻击者执行任意JavaScript代码,控制底层操作系统并将其当做滩头阵地发起额外的恶意攻击,还可以通过特制的HTTP请求触发拒绝服务,甚至更改与用户账户关联的公司,且无需任何授权。

幸运的是,研究人员指出:“用户可以通过更新应用程序版本来解决上述安全问题。对于无法更新的用户,也可以通过隐藏其生产实例来减少威胁暴露面,只需要将生产实例暴露给公司内部网络中的可信人员。”

来源:安全牛

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 5条评论
  • 辞眸鹿鸢2022-06-03 23:47:44
  • 12中的弱密码重置;CVE-2021-36805(CVSS评分:5.2)-Akaunting v2.1.12中的发票页脚持久性XSS。成功利用这些漏洞可以使绕过身份验证的攻击者执行任意JavaScript代码
  • 夙世节枝2022-06-04 00:40:48
  • 复处理。EspoCRM是一个开源的客户关系管理(CRM) 应用程序,而Pimcore是一个用于客户数据管理、数字资产管理、内容管理和数字商务的开源企业软件平台。另一方面,Akau
  • 痛言野侃2022-06-04 00:36:41
  • 户数据管理、数字资产管理、内容管理和数字商务的开源企业软件平台。另一方面,Akaunting是一款开源在线会计软件,专为发票和费用跟踪而设计。问题清单如下——CVE-2021-3539(CVSS评分:6.3)-
  • 痴者掩灼2022-06-03 23:17:40
  • 框架 v3.0.0中的SQL注入;CVE-2021-31869(CVSS评分:6.5)-Pimcore AdminBundle v6.8.0;CVE-2021-36800(CVSS评分:8.7)
  • 只影优伶2022-06-03 19:34:40
  • 信人员。”来源:安全牛

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理