发布日期：2013-08-01
更新日期：2013-08-02

受影响系统：

vtiger vtiger CRM 5.3
vtiger vtiger CRM 5.2.1
vtiger vtiger CRM 5.2
vtiger vtiger CRM 5.1

描述：

---

BUGTRAQ  ID: 61559
CVE(CAN) ID: CVE-2013-3215

vtiger CRM是免费的开源客户关系管理软件。

vtiger CRM 5.4.0的 'validateSession()' 函数在多个SOAP服务中都有定义， "sessionid"参数没有正确验证就和 $server_sessionid 变量比较，对有效的会话ID，'validateSession()' 函数会返回"null"，会话ID如果是0、false、null，则会返回"true"。攻击者通过调用SOAP方法，而不提供 "username"、"sessionid" 参数，利用此漏洞绕过身份验证机制。


<*来源：Egidio Romano
  
  链接：http://www.securityfocus.com/archive/1/527667
*>

建议：

---

厂商补丁：

vtiger
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.vtiger.com/blogs/?p=1467

浏览次数：3742
严重程度：0（网友投票）