在多家企业使用的3款开源软件中发现了几个漏洞

网络安全研究人员周二披露了影响三个开源项目的九个安全漏洞—；EspoCRM、Pimcore和Akaunting—；这被多家中小型企业广泛使用，如果成功利用，可能会为更复杂的攻击提供途径。

所有有问题的安全漏洞，都会影响到EspoCRM v6。1.6，Pimcore客户数据框架v3。0.0，Pimcore AdminBundle v6。8.0和Akaunting v2。诺基亚的研究人员维克托·斯霍夫斯基（Wiktor Sędkowski）和Rapid7的特雷弗·克里斯蒂安森（Trevor Christiansen）指出，1.12的问题在责任披露的一天内得到了解决。九个缺陷中有六个是在Akaunting项目中发现的。

EspoCRM是一个开源的客户关系管理（CRM）应用程序，而Pimcore是一个用于客户数据管理、数字资产管理、内容管理和数字商务的开源企业软件平台。另一方面，Akaunting是一款开源的在线会计软件，用于发票和费用跟踪。

问题清单如下-

• CVE-2021-3539（CVSS评分：6.3）-EspoCRM v6中存在持续的XSS缺陷。1.6
• CVE-2021-31867（CVSS得分：6.5）——Pimcore客户数据框架v3中的SQL注入。0
• CVE-2021-31869（CVSS得分：6.5）——Pimcore AdminBundle v6中的SQL注入。8
• CVE-2021-36800（CVSS分数：8.7）-Akaunting v2中的OS命令注入。1.12
• CVE-2021-36801（CVSS分数：8.5）-在Akaunting v2中绕过认证。1.12
• CVE-2021-36802（CVSS分数：6.5）-通过Akaunting v2中用户控制的“locale”变量拒绝服务。1.12
• CVE-2021-36803（CVSS分数：6.3）-在Akaunting v2中上传头像期间持续XSS。1.12
• CVE-2021-36804（CVSS分数：5.4）-Akaunting v2中密码重置较弱。1.12
• CVE-2021-36805（CVSS分数：5.2）-Akaunting v2中的发票页脚持久XSS。1.12

成功利用这些漏洞可以让经过身份验证的对手执行任意JavaScript代码，霸占底层操作系统，并将其用作发动其他恶意攻击的滩头阵地，通过特制的HTTP请求触发拒绝服务，甚至在没有任何授权的情况下更改与用户帐户关联的公司。

斯波克姆

Pimcore客户数据框架

Akaunting中还解决了一个弱密码重置漏洞，攻击者可以滥用“我忘记了我的密码”功能，从应用程序向注册用户发送钓鱼电子邮件，其中包含恶意链接，单击该链接时会传递密码重置令牌。然后，坏演员可以使用令牌设置他们选择的密码。

研究人员指出：“这三个项目都有真正的用户、他们的支持服务和云托管版本的真正客户，毫无疑问，它们是支持目前数千家中小型企业运营的核心应用程序。”。

“对于所有这些问题，更新到受影响应用程序的最新版本将解决这些问题。如果由于外部因素或自定义、本地更改而难以或不可能更新，这些应用程序的用户可以通过不直接在internet上展示其生产实例来限制他们的暴露—；相反，在与受信任的内部人员建立信任的内部网络。"