SuiteCRM CSV注入漏洞

厂商
产品 SuiteCRM
受影响的版本 7.11.13及以前版本
测试版本 7.11.13
漏洞发现日期 2020-6-10
厂商通知日期 2020-6-10
预警公告日期 2020-6-10【无技术细节】
厂商确认日期
厂商修复日期
公开披露日期
最新修正日期 2020-6-10
CVE ID CVE-2020-15301
产品描述 SuiteCRM是由SalesAgility开发客户关系管理(CRM)系统SugarCRM的软件分支。它是一个免费的开源应用程序
发现者 Luis Noriega,安全研究员和渗透测试人员@wizlynx group

漏洞描述


    CSV注入漏洞
    严重程度: 中     CVSS 分数: 5.4     CWE-IDCWE-74     状态: 未修复
    漏洞详情
SuiteCRM应用程序受CSV注入漏洞(aka Formula Injection)的影响,该漏洞会影响版本7.11.13以及以前的版本。攻击者可以使用“帐户”,“联系人”,“商机”或“潜在客户”模块在注册字段中注入恶意附件。当经过身份验证的管理员使用“下载导入文件模板”功能将所有注册用户的详细信息导出到CSV文件并打开它时,将执行附件。
    CVSS基准分
    攻击媒介     网络     范围     变化
    攻击复杂度     低     保密性影响     低
    所需特权     低     一致性影响     低
    用户互动     需要     可用性影响     无

详情


一旦厂商提供补丁,就会披露有关该漏洞的全面细节。

最新帖子

官网首页        SuiteCRM CSV注入漏洞
浏览量:0
收藏