聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
本周二,网络安全研究员发布影响三个开源项目 EspoCRM、Pimcore 和 Akaunting 的9个安全漏洞。多家中小型企业都在使用这三个开源项目,漏洞如遭成功利用,可为后续更复杂的攻击铺路。
诺基亚公司的研究员 Wiktor Sedkowski 和 Rapid 公司的研究员 Trevor Christiansen 表示,这些缺陷影响 EspoCRM v6.1.6、Pimco Customer Data Framework v3.0.0、Pimcore AdminBundle v6.8.0以及 Akaunting v2.1.12,均已在负责任披露一天内修复。在这九个缺陷中,其中六个是从 Akaunting 项目中发现的。
EspoCRM 是一款开源客户关系管理 (CRM) 应用程序,Pimcore 是一款开源企业软件平台,为客户数据管理、数字资产管理、内容管理和数字商业服务。Akaunting 是一款开源的在线会计软件,旨在追踪发票和花费支出。
这些缺陷如下:
CVE-2021-3539 (CVSS 评分:6.3) —— 位于EspoCRM v6.1.6 中的持久性XSS缺陷
CVE-2021-31867 (CVSS 评分:6.5) ——位于Pimcore Customer Data Framework v3.0.0中的SQL 注入
CVE-2021-31869 (CVSS 评分:6.5) ——位于Pimcore AdminBundle v6.8.0中
CVE-2021-36800 (CVSS 评分:8.7) —— 位于Akaunting v2.1.12中的OS命令注入
CVE-2021-36801 (CVSS 评分:8.5) ——位于Akaunting v2.1.12中的认证绕过
CVE-2021-36802 (CVSS 评分:6.5) ——位于Akaunting v2.1.12中经由受用户控制的 “locale” 变量中的拒绝服务
CVE-2021-36803 (CVSS 评分:6.3) ——位于Akaunting v2.1.12中在头像上传过程中的持久性 XSS
CVE-2021-36804 (CVSS 评分:5.4) ——位于Akaunting v2.1.12中的弱密码重置缺陷
CVE-2021-36805 (CVSS 评分:5.2) —— 位于Akaunting v2.1.12中的发票备注可持久XSS缺陷
这些缺陷如遭利用可导致认证攻击者执行任意 JavaScript 代码、操纵底层操作系统并作为发动其它恶意攻击的前哨、通过特殊构造的 HTTP 请求触发拒绝服务、甚至更改与用户账户相关企业扫描授权的情况。
Akaunting 中还修复了一个弱密码重置漏洞,攻击者可滥用“忘记密码”功能从应用程序将包含恶意链接的钓鱼邮件发送给已注册用户,一旦用户点击链接,就会暴露密码重置令牌,遭攻击者用于设置密码。
研究人员表示,所有这三个项目都拥有真实用户和客户,无疑是当前数千家中小型企业的核心应用程序。用户应更新至最新版本以免遭攻击;如不便更新则应避免将生产实例直接展示到互联网中,而应仅向具有受信任内部人员的受信任内网展示。
推荐阅读
开源容器原生工作流引擎 Argo Workflows 可被用于攻击 K8s 集群
开源组件 Ehcache中被曝严重漏洞,影响多款Jira产品
大企业都在用的开源 ForgeRock OpenAM 被曝预认证 RCE 0day
原文链接
https://thehackernews.com/2021/07/several-bugs-found-in-3-open-source.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
