很多中小企业都在用的3款开源软件被曝多个漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

本周二，网络安全研究员发布影响三个开源项目 EspoCRM、Pimcore 和 Akaunting 的9个安全漏洞。多家中小型企业都在使用这三个开源项目，漏洞如遭成功利用，可为后续更复杂的攻击铺路。

诺基亚公司的研究员 Wiktor Sedkowski 和 Rapid 公司的研究员 Trevor Christiansen 表示，这些缺陷影响 EspoCRM v6.1.6、Pimco Customer Data Framework v3.0.0、Pimcore AdminBundle v6.8.0以及 Akaunting v2.1.12，均已在负责任披露一天内修复。在这九个缺陷中，其中六个是从 Akaunting 项目中发现的。

EspoCRM 是一款开源客户关系管理 (CRM) 应用程序，Pimcore 是一款开源企业软件平台，为客户数据管理、数字资产管理、内容管理和数字商业服务。Akaunting 是一款开源的在线会计软件，旨在追踪发票和花费支出。

这些缺陷如下：

• CVE-2021-3539 (CVSS 评分：6.3) —— 位于EspoCRM v6.1.6 中的持久性XSS缺陷

• CVE-2021-31867 (CVSS 评分：6.5) ——位于Pimcore Customer Data Framework v3.0.0中的SQL 注入

• CVE-2021-31869 (CVSS 评分：6.5) ——位于Pimcore AdminBundle v6.8.0中

• CVE-2021-36800 (CVSS 评分：8.7) —— 位于Akaunting v2.1.12中的OS命令注入

• CVE-2021-36801 (CVSS 评分：8.5) ——位于Akaunting v2.1.12中的认证绕过

• CVE-2021-36802 (CVSS 评分：6.5) ——位于Akaunting v2.1.12中经由受用户控制的 “locale” 变量中的拒绝服务

• CVE-2021-36803 (CVSS 评分：6.3) ——位于Akaunting v2.1.12中在头像上传过程中的持久性 XSS

• CVE-2021-36804 (CVSS 评分：5.4) ——位于Akaunting v2.1.12中的弱密码重置缺陷

• CVE-2021-36805 (CVSS 评分：5.2) —— 位于Akaunting v2.1.12中的发票备注可持久XSS缺陷

这些缺陷如遭利用可导致认证攻击者执行任意 JavaScript 代码、操纵底层操作系统并作为发动其它恶意攻击的前哨、通过特殊构造的 HTTP 请求触发拒绝服务、甚至更改与用户账户相关企业扫描授权的情况。

Akaunting 中还修复了一个弱密码重置漏洞，攻击者可滥用“忘记密码”功能从应用程序将包含恶意链接的钓鱼邮件发送给已注册用户，一旦用户点击链接，就会暴露密码重置令牌，遭攻击者用于设置密码。

研究人员表示，所有这三个项目都拥有真实用户和客户，无疑是当前数千家中小型企业的核心应用程序。用户应更新至最新版本以免遭攻击；如不便更新则应避免将生产实例直接展示到互联网中，而应仅向具有受信任内部人员的受信任内网展示。

推荐阅读

开源容器原生工作流引擎 Argo Workflows 可被用于攻击 K8s 集群

开源组件 Ehcache中被曝严重漏洞，影响多款Jira产品

大企业都在用的开源 ForgeRock OpenAM 被曝预认证 RCE 0day

钱少事多，开源项目维护人员几乎集体出走

原文链接

https://thehackernews.com/2021/07/several-bugs-found-in-3-open-source.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~