安全研究
安全漏洞
vtiger CRM <= 5.4.0 (SOAP服务)多个SQL注入漏洞
发布日期:2013-08-01
更新日期:2013-08-02
受影响系统:vtiger vtiger CRM 5.3
vtiger vtiger CRM 5.2.1
vtiger vtiger CRM 5.2
vtiger vtiger CRM 5.1
描述:
BUGTRAQ ID:
61563
CVE(CAN) ID:
CVE-2013-3213
vtiger CRM是免费的开源客户关系管理软件。
vtiger CRM 5.4.0中,/soap/customerportal.php内的get_picklists SOAP方法、get_tickets_list SOAP方法、/soap/thunderbirdplugin.php内的SearchContactsByEmail SOAP方法、/soap/vtigerolservice.php内的SearchContactsByEmail SOAP方法,这些方法都没有正确过滤某些参数的输入,可导致执行SQL注入攻击。要成功利用此漏洞需要有效的用户名。
<*来源:Egidio Romano
链接:
http://www.securityfocus.com/archive/1/527673
*>
建议:
厂商补丁:
vtiger
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.vtiger.com/blogs/?p=1467浏览次数:3354
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
