供应商采取行动…初次披露后四个月
开发人员修复了PuteCrm中的五个漏洞,这是广泛使用的Sugarcrm Enterprise软件的开源叉,但只有在安全研究人员说他会公开存在缺陷之后。
Egidio Romano发现了SuteCRM的缺点,从SQL注入到客户关系管理(CRM)技术中的PHAR避难所漏洞。
罗曼诺告诉虫子的严重程度每日swbeplay2018官网ig:“我想说的是二阶PHP对象注入,PHAR避难所和BEAN操纵漏洞都是关键的漏洞,因为它们允许使用Web服务器用户的权限执行任意PHP代码。beplay体育能用吗
“我会将损坏的访问控制漏洞和多个SQL注入缺陷作为高风险漏洞进行评分。”
击掌
根据Romano的说法,二阶PHP对象注入漏洞(CVE-2020-8800)在SuiteCrm中,可以“利用将任意的PHP对象注入应用程序范围,从而使攻击者能够执行各种攻击,例如执行任意PHP代码”。
SuiteCRM版本7.11.11及以下是脆弱的。
多PHAR避难所漏洞(CVE-2020-8801)在SuiteCRM(7.11.11)中,也有任意的PHP代码执行风险。
豆操纵脆弱性(CVE-2020-8802)根据Romano的说法,同样,对同一版本的SuiteCRM构成了关键风险。
较小的漏洞与破裂的访问控制缺陷和多个SQL注入错误在SuiteCRM版本7.11.10和更早的版本中。
这些各种缺陷在A中更深入地解释发布在Romano的网站上。beplay体育能用吗
我的套房的糖果
SuiteCRM - 自商业开发人员将软件社区版本移交给开源社区以来多年以来的四个叉子之一 - 提供了一个平台,该平台声称有90万多次下载和450万全球用户。
罗曼诺说,他在9月通知了供应商,并且仅在没有得到有关其各种安全问题的软件开发人员的充分回应后才发表了他的发现。
Salesagity是Salesagity是SuiteCRM背后的公司,他说,意大利研究人员确定的所有五个漏洞现已修补。
销售主管戴尔·默里(Dale Murray)告诉每日swbeplay2018官网ig:“我们的安全团队提供了补丁对于Suitecrm 7.11.12和Suitecrm 7.10.24中的披露漏洞。我们已经将软件的用户告知了这些漏洞,并提示他们尽快升级
“我们通过社交媒体通知了我们的开源社区渠道和建议。我们有一个专门的社区,可以全天候工作,以发现漏洞并产生合适的修复程序,这是选择使用开源软件时企业的关键好处之一。”
罗曼诺说,上周开始推出的补丁修复了他发现的漏洞。
叉
SugarCRM - 非常流行的开源CRM软件,其中大部分SuiteCRM的代码库都建立了 - 显然很容易受到与影响后一个项目的PHP对象注入和PHAR避难所的相同的PHP对象注入和PHAR避难所。
糖修复了他们在去年10月的其9.0.2版本。
罗曼诺说,他有多年的经验在Sugarcrm和相关技术中寻找虫子。
“Most of these [SuiteCRM] vulns are inherited from SugarCRM, and I’m looking for security bugs in it for almost eight years now (back in 2012 I did a virtual internship with them), basically working on their private bug bounty program,” he explained.
