[[413895]]

日前三大熱門(mén)開(kāi)源項(xiàng)目——EspoCRM、Pimcore和Akaunting被曝存在九個(gè)安全漏洞。研究人員指出：“這三個(gè)項(xiàng)目已被廣泛應(yīng)用于數(shù)千家企業(yè)用戶，是支持其服務(wù)和云托管工作的核心應(yīng)用程序。如果這些漏洞被攻擊者成功利用，可能會(huì)為更復(fù)雜的攻擊提供途徑。”

諾基亞和Trevor的技術(shù)人員Wiktor Sędkowski表示，這些漏洞會(huì)影響EspoCRM v6.1.6、Pimcore客戶數(shù)據(jù)框架v3.0.0、Pimcore AdminBundle v6.8.0和Akaunting v2.1.12，但已在相關(guān)漏洞披露后的一天內(nèi)進(jìn)行了修復(fù)處理。

EspoCRM是一個(gè)開(kāi)源的客戶關(guān)系管理(CRM) 應(yīng)用程序，而Pimcore是一個(gè)用于客戶數(shù)據(jù)管理、數(shù)字資產(chǎn)管理、內(nèi)容管理和數(shù)字商務(wù)的開(kāi)源企業(yè)軟件平臺(tái)。另一方面，Akaunting是一款開(kāi)源在線會(huì)計(jì)軟件，專為發(fā)票和費(fèi)用跟蹤而設(shè)計(jì)。

問(wèn)題清單如下——

• CVE-2021-3539(CVSS評(píng)分：6.3)- EspoCRM v6.1.6中的持久性XSS缺陷;
• CVE-2021-31867(CVSS評(píng)分：6.5)- Pimcore客戶數(shù)據(jù)框架 v3.0.0中的SQL注入;
• CVE-2021-31869(CVSS評(píng)分：6.5)-Pimcore AdminBundle v6.8.0;
• CVE-2021-36800(CVSS評(píng)分：8.7)-Akaunting v2.1.12中的操作系統(tǒng)命令注入;
• CVE-2021-36801(CVSS評(píng)分：8.5)-Akaunting v2.1.12中的身份驗(yàn)證繞過(guò);
• CVE-2021-36802(CVSS評(píng)分：6.5)-Akaunting v2.1.12中通過(guò)用戶控制的“區(qū)域設(shè)置”變量拒絕服務(wù);
• CVE-2021-36803(CVSS評(píng)分：6.3)-在 Akaunting v2.1.12中上傳頭像期間的持久性XSS;
• CVE-2021-36804(CVSS評(píng)分：5.4)-Akaunting v2.1.12中的弱密碼重置;
• CVE-2021-36805(CVSS評(píng)分：5.2)-Akaunting v2.1.12中的發(fā)票頁(yè)腳持久性XSS。

成功利用這些漏洞可以使繞過(guò)身份驗(yàn)證的攻擊者執(zhí)行任意JavaScript代碼，控制底層操作系統(tǒng)并將其當(dāng)做灘頭陣地發(fā)起額外的惡意攻擊，還可以通過(guò)特制的HTTP請(qǐng)求觸發(fā)拒絕服務(wù)，甚至更改與用戶賬戶關(guān)聯(lián)的公司，且無(wú)需任何授權(quán)。

幸運(yùn)的是，研究人員指出：“用戶可以通過(guò)更新應(yīng)用程序版本來(lái)解決上述安全問(wèn)題。對(duì)于無(wú)法更新的用戶，也可以通過(guò)隱藏其生產(chǎn)實(shí)例來(lái)減少威脅暴露面，只需要將生產(chǎn)實(shí)例暴露給公司內(nèi)部網(wǎng)絡(luò)中的可信人員。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文