Vigil@nce - Vtiger CRM : upload de fichier via saveLogo
novembre 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant authentifié peut uploader un fichier malveillant sur
Vtiger CRM, afin par exemple de déposer un Cheval de Troie.
– Produits concernés : Vtiger CRM.
– Gravité : 2/4.
– Date création : 29/09/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Vtiger CRM dispose d’un service web.
Il peut être utilisé par un utilisateur authentifié pour
uploader un fichier contenant le logo de l’entreprise. Cependant,
comme le type du fichier n’est pas restreint, un fichier PHP peut
être uploadé sur le serveur, puis exécuté.
Un attaquant authentifié peut donc uploader un fichier
malveillant sur Vtiger CRM, afin par exemple de déposer un Cheval
de Troie.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Vtiger-CRM-upload-de-fichier-via-saveLogo-17995