SuiteCRM CSV注入漏洞
厂商 | |
产品 | SuiteCRM |
受影响的版本 | 7.11.13及以前版本 |
测试版本 | 7.11.13 |
漏洞发现日期 | 2020-6-10 |
厂商通知日期 | 2020-6-10 |
预警公告日期 | 2020-6-10【无技术细节】 |
厂商确认日期 | 无 |
厂商修复日期 | 无 |
公开披露日期 | 无 |
最新修正日期 | 2020-6-10 |
CVE ID | CVE-2020-15301 |
产品描述 | SuiteCRM是由SalesAgility开发客户关系管理(CRM)系统SugarCRM的软件分支。它是一个免费的开源应用程序 |
发现者 | Luis Noriega,安全研究员和渗透测试人员@wizlynx group |
漏洞描述
CSV注入漏洞 | |||
严重程度: 中 | CVSS 分数: 5.4 | CWE-ID: CWE-74 | 状态: 未修复 |
漏洞详情 | |||
SuiteCRM应用程序受CSV注入漏洞(aka Formula Injection)的影响,该漏洞会影响版本7.11.13以及以前的版本。攻击者可以使用“帐户”,“联系人”,“商机”或“潜在客户”模块在注册字段中注入恶意附件。当经过身份验证的管理员使用“下载导入文件模板”功能将所有注册用户的详细信息导出到CSV文件并打开它时,将执行附件。 | |||
CVSS基准分 | |||
攻击媒介 | 网络 | 范围 | 变化 |
攻击复杂度 | 低 | 保密性影响 | 低 |
所需特权 | 低 | 一致性影响 | 低 |
用户互动 | 需要 | 可用性影响 | 无 |
详情
一旦厂商提供补丁,就会披露有关该漏洞的全面细节。
넶0
-
安全要防患于未然!漏洞评估和渗透测试快速指南
넶32 2023-05-11 -
网络威胁情报与数据隐私和数据泄露的关系
넶92 2022-06-23 -
wizlynx集团与BlueDart咨询公司达成战略合作
我们很高兴地宣布与BlueDart咨询服务(Pty)有限公司建立战略合作伙伴关系!我们将共同在南非提供高质量的安全评估、渗透测试和红队服务。
넶103 2022-05-25 -
威联科技与 IoT Inspector达成合作
넶259 2021-05-24