CiviCRM termékek Open Flash Chart sérülékenysége

CH azonosító

CH-9039

Angol cím

CiviCRM Multiple Products Open Flash Chart Arbitrary File Creation Vulnerability

Felfedezés dátuma

2013.04.23.

Súlyosság

Magas

Érintett rendszerek

CiviCRM 4.x (component for Joomla!)
CiviCRM Plugin
CiviCRM module
Drupal
Joomla
WordPress

Érintett verziók

CiviCRM 4.x (component for Joomla!)
Drupal CiviCRM Module 4.x
WordPress CiviCRM Plugin 4.x

Összefoglaló

Több CiviCRM termék sérülékenysége vált ismertté, amelyet kihasználva a támadók feltörhetik a sérülékeny rendszert.

Leírás

A sérülékenységet az okozza, hogy az  Open Flash Chart-ban lévő php-ofc-library/ofc_upload_image.php részére a “name” és a “HTTP_RAW_POST_DATA” paraméterekkel átadott bemeneti adat nincs megfelelően ellenőrizve a fájlkiterjesztés és tartalom szempontjából, mielőtt fájlok létrehozásához felhasználásra kerülnének. Ez kihasználható PHP kiterjesztésű és kódot tartalmazó fájlok létrehozására, így tetszőleges PHP kód futtatására.

Az érintett termékek listája:

  • A Joomla! CiviCRM komponensének 4.2.6 előtti verziói
  • A Drupal CiviCRM moduljának 4.2.6 előtti verziói
  • A WordPress CiviCRM pluginjének 4.2.6 előtti verziói

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »