کشف یک آسیب پذیری خطرناک در Vtiger CRM
موسسه خبری سایبربان: نرمافزار vtiger CRM یک نرمافزار مدیریت ارتباط با مشتری (CRM) است که کسب و کارهای کوچک می توانند برای پیگیری ارتباطات مشتری، ارائه نقل قول مشتری، تولید و پیگیری فاکتورها و حتی دریافت، پیگیری، و مدیریت درخواست های پشتیبانی خود از مشتریان، استفاده کنند. از جمله آسیبپذیریهای آمده در گزارش گروه امنیتی Secunia را میتوان به شرح زیر برشمرد:
- عدم بررسی صحیح ورودی قبل از انجام SQL Query از طریق soap.
فهرست اسکریپتها و پارامترهای آسیبدیده:
- خطا در validateSession که میتواند باعث دور زدن مکانیزم احراز هویت با ارائه پارامترهای نام کاربری و SESSIONID خالی گردد.
فهرست اسکریپتهای مبتلا:
- خطای نامشخص برای حذف فایلهای دلخواه.
- خطای نامشخص برای آپلود فایلهای دلخواه به یک پوشه مورد نظر در webroot.