三大熱門開源軟件曝出漏洞，或影響數千企業

日前三大熱門開源項目——EspoCRM、Pimcore和Akaunting被曝存在九個安全漏洞。研究人員指出：“這三個項目已被廣泛應用于數千家企業用戶，是支持其服務和云托管工作的核心應用程序。如果這些漏洞被攻擊者成功利用，可能會為更復雜的攻擊提供途徑。”

諾基亞和Trevor的技術人員Wiktor S?dkowski表示，這些漏洞會影響EspoCRM v6.1.6、Pimcore客戶數據框架v3.0.0、Pimcore AdminBundle v6.8.0和Akaunting v2.1.12，但已在相關漏洞披露后的一天內進行了修復處理。

EspoCRM是一個開源的客戶關系管理(CRM) 應用程序，而Pimcore是一個用于客戶數據管理、數字資產管理、內容管理和數字商務的開源企業軟件平臺。另一方面，Akaunting是一款開源在線會計軟件，專為發票和費用跟蹤而設計。

問題清單如下——

• CVE-2021-3539（CVSS評分：6.3）- EspoCRM v6.1.6中的持久性XSS缺陷；
• CVE-2021-31867（CVSS評分：6.5）- Pimcore客戶數據框架 v3.0.0中的SQL注入；
• CVE-2021-31869（CVSS評分：6.5）-Pimcore AdminBundle v6.8.0；
• CVE-2021-36800（CVSS評分：8.7）-Akaunting v2.1.12中的操作系統命令注入；
• CVE-2021-36801（CVSS評分：8.5）-Akaunting v2.1.12中的身份驗證繞過；
• CVE-2021-36802（CVSS評分：6.5）-Akaunting v2.1.12中通過用戶控制的“區域設置”變量拒絕服務；
• CVE-2021-36803（CVSS評分：6.3）-在 Akaunting v2.1.12中上傳頭像期間的持久性XSS；
• CVE-2021-36804（CVSS評分：5.4）-Akaunting v2.1.12中的弱密碼重置；
• CVE-2021-36805（CVSS評分：5.2）-Akaunting v2.1.12中的發票頁腳持久性XSS。

成功利用這些漏洞可以使繞過身份驗證的攻擊者執行任意JavaScript代碼，控制底層操作系統并將其當做灘頭陣地發起額外的惡意攻擊，還可以通過特制的HTTP請求觸發拒絕服務，甚至更改與用戶賬戶關聯的公司，且無需任何授權。

幸運的是，研究人員指出：“用戶可以通過更新應用程序版本來解決上述安全問題。對于無法更新的用戶，也可以通過隱藏其生產實例來減少威脅暴露面，只需要將生產實例暴露給公司內部網絡中的可信人員。”