Podatność CVE-2010-3909


Publikacja: 2010-11-26   Modyfikacja: 2012-02-13

Opis:
Incomplete blacklist vulnerability in config.template.php in vtiger CRM before 5.2.1 allows remote authenticated users to execute arbitrary code by using the draft save feature in the Compose Mail component to upload a file with a .phtml extension, and then accessing this file via a direct request to the file in the storage/ directory tree.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
Med.
Vtiger CRM 5.2.0 Multiple Vulnerabilities
ascii
30.11.2010

Typ:

CWE-94

(Improper Control of Generation of Code ('Code Injection'))

CVSS2 => (AV:N/AC:M/Au:S/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
6/10
6.4/10
6.8/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Vtiger -> Vtiger crm 

 Referencje:
http://vtiger.com/blogs/2010/11/16/vtiger-crm-521-is-released/
http://wiki.vtiger.com/index.php/Vtiger521:Release_Notes
http://www.securityfocus.com/archive/1/514846/100/0/threaded
http://www.ush.it/team/ush/hack-vtigercrm_520/vtigercrm_520.txt

Copyright 2020, cxsecurity.com

 

Back to Top