多家企业使用的 3 款开源软件中发现了多个安全漏洞

网络安全研究人员周二披露了影响三个开源项目——EspoCRM、Pimcore和Akaunting——的九个安全漏洞，这些项目被多家中小型企业广泛使用，如果被成功利用，可能会为更复杂的攻击提供途径。

诺基亚和 Trevor 的研究人员 Wiktor Sędkowski 在负责任的披露后一天内修复了所有有问题的安全漏洞，这些漏洞影响 EspoCRM v6.1.6、Pimcore 客户数据框架 v3.0.0、Pimcore AdminBundle v6.8.0 和 Akaunting v2.1.12 Rapid7 的 Christiansen 指出。Akaunting 项目发现了九个缺陷中的六个。

EspoCRM 是一个开源的客户关系管理 (CRM) 应用程序，而 Pimcore 是一个用于客户数据管理、数字资产管理、内容管理和数字商务的开源企业软件平台。另一方面，Akaunting 是一款开源在线会计软件，专为发票和费用跟踪而设计。

安全漏洞清单如下——

• CVE-2021-3539（CVSS 评分：6.3）- EspoCRM v6.1.6 中的持久性 XSS 缺陷
• CVE-2021-31867（CVSS 分数：6.5）- Pimcore 客户数据框架 v3.0.0 中的 SQL 注入
• CVE-2021-31869（CVSS 分数：6.5）- Pimcore AdminBundle v6.8.0
• CVE-2021-36800（CVSS 分数：8.7）- Akaunting v2.1.12 中的操作系统命令注入
• CVE-2021-36801（CVSS 分数：8.5）- Akaunting v2.1.12 中的身份验证绕过
• CVE-2021-36802（CVSS 评分：6.5）- Akaunting v2.1.12 中通过用户控制的“区域设置”变量拒绝服务
• CVE-2021-36803（CVSS 分数：6.3）- 在 Akaunting v2.1.12 中上传头像期间的持久性 XSS
• CVE-2021-36804（CVSS 分数：5.4）- Akaunting v2.1.12 中的弱密码重置
• CVE-2021-36805（CVSS 分数：5.2）- Akaunting v2.1.12 中的发票页脚持久性 XSS

成功利用这些漏洞可以使经过身份验证的对手执行任意 JavaScript 代码，控制底层操作系统并将其用作滩头阵地发起额外的恶意攻击，通过特制的 HTTP 请求触发拒绝服务，甚至更改与用户帐户关联的公司，无需任何授权。

EspoCRM

Pimcore Customer Data Framework

研究人员指出：“这三个项目都有真正的用户、随之而来的支持服务和云托管版本的真正客户，毫无疑问是支持当今运行的数千家中小型企业的核心应用程序。”

“对于所有这些问题，更新到受影响应用程序的最新版本将解决这些问题。如果由于外部因素或自定义、本地更改而难以更新或无法更新，这些应用程序的用户可以通过不展示其生产实例来限制其暴露直接访问互联网——相反，只将它们暴露给可信内部人员的可信内部网络。”