vtiger CRM 'customerportal.php'多个本地文件包含漏洞

文章由LinuxBoy分享于2019-04-02 03:04:15热评（255）

vtiger CRM 'customerportal.php'多个本地文件包含漏洞

发布日期：2013-08-01
更新日期：2013-08-04

受影响系统：
vtiger vtiger CRM 5.3
vtiger vtiger CRM 5.2.1
vtiger vtiger CRM 5.2
vtiger vtiger CRM 5.1
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 61560
CVE(CAN) ID: CVE-2013-3212

vtiger CRM是免费的开源客户关系管理软件。

vtiger CRM 5.4.0中，/soap/customerportal.php内的get_list_values SOAP方法、/soap/customerportal.php内的get_project_components SOAP方法没有正确验证"module"参数传递的输入，该参数用于调用require_once()函数。这可被利用包含带恶意PHP代码的任意本地文件。要成功利用此漏洞需要应用运行在PHP <5.3.4版本上。

<*来源：Egidio Romano

链接：http://www.securityfocus.com/archive/1/527667
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

vtiger
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.vtiger.com/blogs/?p=1467

推荐文章：

vtiger CRM 'customerportal.php'多个本地文件包含漏洞