日前,三大热门开源项目EspoCRM、Pimcore和Akaunting被曝出9个安全漏洞。“这三个项目已被成千上万的企业用户广泛使用,是支持其服务和云托管工作的核心应用程序。如果这些漏洞被攻击者成功利用,它们可能会为更复杂的攻击提供机会,”研究人员指出。方式。”诺基亚和Trevor技术人员WiktorS?dkowski表示,该漏洞影响EspoCRMv6.1.6、PimcoreCustomerDataFrameworkv3.0.0、PimcoreAdminBundlev6.8.0和Akauntingv2.1.12,但已在相关漏洞发布一天后发布被披露内修复。EspoCRM是一个开源客户关系管理(CRM)应用程序,而Pimcore是一个用于客户数据管理、数字资产管理、内容管理和数字商务的开源企业软件平台。另一方面,Akaunting是一种开源在线会计软件,专为开具发票和费用跟踪而设计。问题列表如下-CVE-2021-3539(CVSS评分:6.3)-EspoCRMv6.1.6中的持久性XSS缺陷;CVE-2021-31867(CVSS分数:6.5)-Pimcore客户数据框架v3.0.0注入中的SQL;CVE-2021-31869(CVSS评分:6.5)-PimcoreAdminBundlev6.8.0;CVE-2021-36800(CVSS分数:8.7)-Akauntingv2.1.12中的操作系统命令注入;CVE-2021-36801(CVSS分数:8.5)-Akauntingv2.1.12中的身份验证绕过;CVE-2021-36802(CVSS分数:6.5)-在Akauntingv2.1.12中通过用户控制的“locale”变量拒绝服务;CVE-2021-36803(CVSS分数:6.3)-在Akauntingv2.1.12中上传头像期间的持久性XSS;CVE-2021-36804(CVSS分数:5.4)-Akauntingv2.1.12中的弱密码重置;CVE-2021-36805(CVSS分数:5.2)-Akauntingv2.1.12中的发票页脚持久性XSS。成功利用这些漏洞可能允许攻击者绕过身份验证执行任意JavaScript代码,控制底层操作系统并将其用作发起其他恶意攻击的滩头阵地,通过特制的HTTP请求触发拒绝服务,甚至更改与用户帐户的连接。关联公司无需任何授权。幸运的是,研究人员指出:“用户可以通过更新应用版本来解决上述安全问题。对于无法更新的用户,还可以通过隐藏自己的生产实例来减少威胁暴露面,只需要将生产实例暴露给公司内部网络中值得信赖的人。”【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获得授权】点此阅读作者更多好文
