Összefoglaló
A Vtiger egy súlyos sérülékenységet tartalmaz. Ennek kihasználásával jogosulatlan távoli kódfuttatásra és műveletvégrehajtásra nyílhat lehetőség.
Leírás
A hiba a vállalati logók feltöltésére szolgáló funkcióban található, és konkrétan a Settings_Vtiger_CompanyDetailsSave_Action() osztályt sújtja. Speciálisan összeállított fájlok feltöltésekor a célkeresztbe állított rendszeren tetszőleges parancsok hajthatók végre.
A biztonsági rés kihasználásához a támadónak előzőleg be kell tudnia jelentkezni a rendszerbe.
A sebezhetőséget az Open Source 6.3 és az ennél korábbi verziók tartalmazzák.
Megoldás
Frissítsen az Open Source 6.3-nál magasabb verzióra.
Támadás típusa
System access (Rendszer hozzáférés)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: b.fl7.de
Egyéb referencia: isbk.hu
CVE-2015-6000 - NVD CVE-2015-6000