日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
三大熱門開源軟件曝出漏洞,或影響數(shù)千企業(yè)

日前三大熱門開源項(xiàng)目——EspoCRM、Pimcore和Akaunting被曝存在九個(gè)安全漏洞。研究人員指出:“這三個(gè)項(xiàng)目已被廣泛應(yīng)用于數(shù)千家企業(yè)用戶,是支持其服務(wù)和云托管工作的核心應(yīng)用程序。如果這些漏洞被攻擊者成功利用,可能會(huì)為更復(fù)雜的攻擊提供途徑?!?/p>

在銅川等地區(qū),都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局,加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力,以專注、極致的服務(wù)理念,為客戶提供做網(wǎng)站、成都網(wǎng)站制作 網(wǎng)站設(shè)計(jì)制作定制網(wǎng)站建設(shè),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站制作,營銷型網(wǎng)站建設(shè),外貿(mào)營銷網(wǎng)站建設(shè),銅川網(wǎng)站建設(shè)費(fèi)用合理。

諾基亞和Trevor的技術(shù)人員Wiktor S?dkowski表示,這些漏洞會(huì)影響EspoCRM v6.1.6、Pimcore客戶數(shù)據(jù)框架v3.0.0、Pimcore AdminBundle v6.8.0和Akaunting v2.1.12,但已在相關(guān)漏洞披露后的一天內(nèi)進(jìn)行了修復(fù)處理。

EspoCRM是一個(gè)開源的客戶關(guān)系管理(CRM) 應(yīng)用程序,而Pimcore是一個(gè)用于客戶數(shù)據(jù)管理、數(shù)字資產(chǎn)管理、內(nèi)容管理和數(shù)字商務(wù)的開源企業(yè)軟件平臺(tái)。另一方面,Akaunting是一款開源在線會(huì)計(jì)軟件,專為發(fā)票和費(fèi)用跟蹤而設(shè)計(jì)。

問題清單如下——

  • CVE-2021-3539(CVSS評(píng)分:6.3)- EspoCRM v6.1.6中的持久性XSS缺陷;
  • CVE-2021-31867(CVSS評(píng)分:6.5)- Pimcore客戶數(shù)據(jù)框架 v3.0.0中的SQL注入;
  • CVE-2021-31869(CVSS評(píng)分:6.5)-Pimcore AdminBundle v6.8.0;
  • CVE-2021-36800(CVSS評(píng)分:8.7)-Akaunting v2.1.12中的操作系統(tǒng)命令注入;
  • CVE-2021-36801(CVSS評(píng)分:8.5)-Akaunting v2.1.12中的身份驗(yàn)證繞過;
  • CVE-2021-36802(CVSS評(píng)分:6.5)-Akaunting v2.1.12中通過用戶控制的“區(qū)域設(shè)置”變量拒絕服務(wù);
  • CVE-2021-36803(CVSS評(píng)分:6.3)-在 Akaunting v2.1.12中上傳頭像期間的持久性XSS;
  • CVE-2021-36804(CVSS評(píng)分:5.4)-Akaunting v2.1.12中的弱密碼重置;
  • CVE-2021-36805(CVSS評(píng)分:5.2)-Akaunting v2.1.12中的發(fā)票頁腳持久性XSS。

成功利用這些漏洞可以使繞過身份驗(yàn)證的攻擊者執(zhí)行任意JavaScript代碼,控制底層操作系統(tǒng)并將其當(dāng)做灘頭陣地發(fā)起額外的惡意攻擊,還可以通過特制的HTTP請(qǐng)求觸發(fā)拒絕服務(wù),甚至更改與用戶賬戶關(guān)聯(lián)的公司,且無需任何授權(quán)。

幸運(yùn)的是,研究人員指出:“用戶可以通過更新應(yīng)用程序版本來解決上述安全問題。對(duì)于無法更新的用戶,也可以通過隱藏其生產(chǎn)實(shí)例來減少威脅暴露面,只需要將生產(chǎn)實(shí)例暴露給公司內(nèi)部網(wǎng)絡(luò)中的可信人員?!?/p>

通過專業(yè)的網(wǎng)站建設(shè)開發(fā)服務(wù),幫助企業(yè)打造獨(dú)特的品牌形象,提高市場(chǎng)競爭力。成都網(wǎng)站開發(fā),十年建站經(jīng)驗(yàn),讓您的網(wǎng)站更省心省時(shí),更省力我們更專業(yè),創(chuàng)新互聯(lián)為您提供更省時(shí)更放心的建站方案。


網(wǎng)頁名稱:三大熱門開源軟件曝出漏洞,或影響數(shù)千企業(yè)
文章來源:http://www.dlmjj.cn/article/djgopjc.html