社区编辑申请
注册/登录
三大热门开源软件曝出漏洞,或影响数千企业
安全 应用安全 漏洞
日前三大热门开源项目——EspoCRM、Pimcore和Akaunting被曝存在九个安全漏洞。

日前三大热门开源项目——EspoCRM、Pimcore和Akaunting被曝存在九个安全漏洞。研究人员指出:“这三个项目已被广泛应用于数千家企业用户,是支持其服务和云托管工作的核心应用程序。如果这些漏洞被攻击者成功利用,可能会为更复杂的攻击提供途径。”

诺基亚和Trevor的技术人员Wiktor Sędkowski表示,这些漏洞会影响EspoCRM v6.1.6、Pimcore客户数据框架v3.0.0、Pimcore AdminBundle v6.8.0和Akaunting v2.1.12,但已在相关漏洞披露后的一天内进行了修复处理。

EspoCRM是一个开源的客户关系管理(CRM) 应用程序,而Pimcore是一个用于客户数据管理、数字资产管理、内容管理和数字商务的开源企业软件平台。另一方面,Akaunting是一款开源在线会计软件,专为发票和费用跟踪而设计。

问题清单如下——

  • CVE-2021-3539(CVSS评分:6.3)- EspoCRM v6.1.6中的持久性XSS缺陷;
  • CVE-2021-31867(CVSS评分:6.5)- Pimcore客户数据框架 v3.0.0中的SQL注入;
  • CVE-2021-31869(CVSS评分:6.5)-Pimcore AdminBundle v6.8.0;
  • CVE-2021-36800(CVSS评分:8.7)-Akaunting v2.1.12中的操作系统命令注入;
  • CVE-2021-36801(CVSS评分:8.5)-Akaunting v2.1.12中的身份验证绕过;
  • CVE-2021-36802(CVSS评分:6.5)-Akaunting v2.1.12中通过用户控制的“区域设置”变量拒绝服务;
  • CVE-2021-36803(CVSS评分:6.3)-在 Akaunting v2.1.12中上传头像期间的持久性XSS;
  • CVE-2021-36804(CVSS评分:5.4)-Akaunting v2.1.12中的弱密码重置;
  • CVE-2021-36805(CVSS评分:5.2)-Akaunting v2.1.12中的发票页脚持久性XSS。

成功利用这些漏洞可以使绕过身份验证的攻击者执行任意JavaScript代码,控制底层操作系统并将其当做滩头阵地发起额外的恶意攻击,还可以通过特制的HTTP请求触发拒绝服务,甚至更改与用户账户关联的公司,且无需任何授权。

幸运的是,研究人员指出:“用户可以通过更新应用程序版本来解决上述安全问题。对于无法更新的用户,也可以通过隐藏其生产实例来减少威胁暴露面,只需要将生产实例暴露给公司内部网络中的可信人员。”

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文 

 

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2022-06-20 22:37:25

Linux操作系统命令

2022-05-11 15:08:52

驱动开发系统移植

2022-06-01 17:47:24

运维监控系统

2022-06-20 13:34:46

漏洞网络攻击

2022-06-29 08:13:36

漏洞网络攻击网络安全

2022-06-10 07:45:09

CentOS国产操作系统

2022-06-20 14:57:50

漏洞安全威胁

2022-06-29 09:19:09

静态代码C语言c代码

2022-06-22 09:19:55

HDC鸿蒙ADB命令

2022-06-03 09:41:03

DockerKubernetes容器

2022-06-16 15:42:16

攻击面管理ASM

2022-06-24 11:14:00

美团开源

2022-06-09 18:04:46

网络攻击网络安全

2022-06-16 07:32:38

VSCodePython插件

2022-06-07 11:16:51

云原生人工智能运维

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-20 09:45:48

Python开源可视化库

2022-06-17 18:32:54

开源大数据数据调度

2022-06-28 10:03:56

CentOSLinux

2022-06-27 12:44:34

RustLinux

同话题下的热门内容

QQ大批账号被盗,网络安全该如何维护?为什么智能建筑IoT网络安全标准很重要?Web 3.0 对软件行业的影响区块链在网络信任体系中的应用研究你安装的 Chrome 扩展的组合可以跟踪你黑客用AI换脸技术应聘 人工智能安全问题不容忽视如何把个人信息“安全堤”筑得更牢供应链的模糊如何为网络攻击者打开大门以及如何关闭

编辑推荐

权威解读 | 网络安全等级保护2.0标准体系以及主要标准百亿级访问量的实时监控系统如何实现?浅谈反浏览器指纹追踪符号执行:利用Angr进行简单CTF逆向分析拿什么拯救你,我的网络安全
我收藏的内容
点赞
收藏

51CTO技术栈公众号