三大热门开源软件曝出漏洞，或影响数千企业

日前三大热门开源项目——EspoCRM、Pimcore和Akaunting被曝存在九个安全漏洞。研究人员指出：“这三个项目已被广泛应用于数千家企业用户，是支持其服务和云托管工作的核心应用程序。如果这些漏洞被攻击者成功利用，可能会为更复杂的攻击提供途径。”

在铜川等地区，都构建了全面的区域性战略布局，加强发展的系统性、市场前瞻性、产品创新能力，以专注、极致的服务理念，为客户提供做网站、成都网站制作 网站设计制作定制网站建设,公司网站建设,企业网站建设,品牌网站制作,营销型网站建设,外贸营销网站建设,铜川网站建设费用合理。

诺基亚和Trevor的技术人员Wiktor Sędkowski表示，这些漏洞会影响EspoCRM v6.1.6、Pimcore客户数据框架v3.0.0、Pimcore AdminBundle v6.8.0和Akaunting v2.1.12，但已在相关漏洞披露后的一天内进行了修复处理。

EspoCRM是一个开源的客户关系管理(CRM) 应用程序，而Pimcore是一个用于客户数据管理、数字资产管理、内容管理和数字商务的开源企业软件平台。另一方面，Akaunting是一款开源在线会计软件，专为发票和费用跟踪而设计。

问题清单如下——

• CVE-2021-3539(CVSS评分：6.3)- EspoCRM v6.1.6中的持久性XSS缺陷;
• CVE-2021-31867(CVSS评分：6.5)- Pimcore客户数据框架 v3.0.0中的SQL注入;
• CVE-2021-31869(CVSS评分：6.5)-Pimcore AdminBundle v6.8.0;
• CVE-2021-36800(CVSS评分：8.7)-Akaunting v2.1.12中的操作系统命令注入;
• CVE-2021-36801(CVSS评分：8.5)-Akaunting v2.1.12中的身份验证绕过;
• CVE-2021-36802(CVSS评分：6.5)-Akaunting v2.1.12中通过用户控制的“区域设置”变量拒绝服务;
• CVE-2021-36803(CVSS评分：6.3)-在 Akaunting v2.1.12中上传头像期间的持久性XSS;
• CVE-2021-36804(CVSS评分：5.4)-Akaunting v2.1.12中的弱密码重置;
• CVE-2021-36805(CVSS评分：5.2)-Akaunting v2.1.12中的发票页脚持久性XSS。

成功利用这些漏洞可以使绕过身份验证的攻击者执行任意JavaScript代码，控制底层操作系统并将其当做滩头阵地发起额外的恶意攻击，还可以通过特制的HTTP请求触发拒绝服务，甚至更改与用户账户关联的公司，且无需任何授权。

幸运的是，研究人员指出：“用户可以通过更新应用程序版本来解决上述安全问题。对于无法更新的用户，也可以通过隐藏其生产实例来减少威胁暴露面，只需要将生产实例暴露给公司内部网络中的可信人员。”

通过专业的网站建设开发服务,帮助企业打造独特的品牌形象,提高市场竞争力。成都网站开发,十年建站经验,让您的网站更省心省时,更省力我们更专业,创新互联为您提供更省时更放心的建站方案。

分享名称：三大热门开源软件曝出漏洞，或影响数千企业
本文网址：http://www.mswzjz.cn/qtweb/news2/283052.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 贝锐智能