BUGTRAQ ID: 28981
SugarCRM是开源的客户关系管理系统。
SugarCRM没有正确地验证对RSS模块的输入便用于在cache/feeds目录中生成缓存文件,远程攻击者可能利用此漏洞在系统上创建文件。
RSS模块允许SugarCRM用户向个人RSS列表添加RSS源,但没有正确地过滤URL变量值,因此用户可以输入任意URI值。在这种情况下,SugarCRM可能无法在列表中显示新的RSS源,但应用程序会以所输入URL的md5哈希为文件名在cache/feeds目录中创建本地文件。
SugarCRM SugarCRM Community Edition 5.0
SugarCRM SugarCRM Community Edition 4.5.1
SugarCRM
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=http://www.sugarforge.org/frs/download.php/3947/SugarOS-Patch-4.5.1j.zip target=_blank>http://www.sugarforge.org/frs/download.php/3947/SugarOS-Patch-4.5.1j.zip</a>
<a href=http://www.sugarcrm.com/forums/showthread.php?t=32252 target=_blank>http://www.sugarcrm.com/forums/showthread.php?t=32252</a>
暂无评论