三大熱門開源軟件曝出漏洞,或影響數(shù)千企業(yè)
責編:gltian |2021-07-29 10:39:35
日前三大熱門開源項目——EspoCRM、Pimcore和Akaunting被曝出存在九個安全漏洞。研究人員指出:“這三個項目已被廣泛應用于數(shù)千家企業(yè)用戶,是支持其服務和云托管工作的核心應用程序。如果這些漏洞被攻擊者成功利用,可能會為更復雜的攻擊提供途徑。”
諾基亞和Trevor的技術人員Wiktor S?dkowski表示,這些漏洞會影響EspoCRM v6.1.6、Pimcore客戶數(shù)據(jù)框架v3.0.0、Pimcore AdminBundle v6.8.0和Akaunting v2.1.12,但已在相關漏洞披露后的一天內(nèi)進行了修復處理。
EspoCRM是一個開源的客戶關系管理(CRM) 應用程序,而Pimcore是一個用于客戶數(shù)據(jù)管理、數(shù)字資產(chǎn)管理、內(nèi)容管理和數(shù)字商務的開源企業(yè)軟件平臺。另一方面,Akaunting是一款開源在線會計軟件,專為發(fā)票和費用跟蹤而設計。
問題清單如下——
- CVE-2021-3539(CVSS評分:6.3)- EspoCRM v6.1.6中的持久性XSS缺陷;
- CVE-2021-31867(CVSS評分:6.5)- Pimcore客戶數(shù)據(jù)框架 v3.0.0中的SQL注入;
- CVE-2021-31869(CVSS評分:6.5)-Pimcore AdminBundle v6.8.0;
- CVE-2021-36800(CVSS評分:8.7)-Akaunting v2.1.12中的操作系統(tǒng)命令注入;
- CVE-2021-36801(CVSS評分:8.5)-Akaunting v2.1.12中的身份驗證繞過;
- CVE-2021-36802(CVSS評分:6.5)-Akaunting v2.1.12中通過用戶控制的“區(qū)域設置”變量拒絕服務;
- CVE-2021-36803(CVSS評分:6.3)-在 Akaunting v2.1.12中上傳頭像期間的持久性XSS;
- CVE-2021-36804(CVSS評分:5.4)-Akaunting v2.1.12中的弱密碼重置;
- CVE-2021-36805(CVSS評分:5.2)-Akaunting v2.1.12中的發(fā)票頁腳持久性XSS。
成功利用這些漏洞可以使繞過身份驗證的攻擊者執(zhí)行任意JavaScript代碼,控制底層操作系統(tǒng)并將其當做灘頭陣地發(fā)起額外的惡意攻擊,還可以通過特制的HTTP請求觸發(fā)拒絕服務,甚至更改與用戶賬戶關聯(lián)的公司,且無需任何授權。
幸運的是,研究人員指出:“用戶可以通過更新應用程序版本來解決上述安全問題。對于無法更新的用戶,也可以通過隱藏其生產(chǎn)實例來減少威脅暴露面,只需要將生產(chǎn)實例暴露給公司內(nèi)部網(wǎng)絡中的可信人員。”
來源:安全牛
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧