Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant authentifié peut uploader un fichier sur vtiger CRM,
afin d’exécuter du code PHP.

Produits concernés : vtiger CRM

Gravité : 2/4

Date création : 31/10/2013

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit vtiger CRM permet aux utilisateurs authentifiés
d’uploader des images.

Cependant, un attaquant peut uploader un fichier portant
l’extension ".php3". Il peut ensuite accéder à ce fichier, qui est
interprété en tant que langage PHP.

Un attaquant authentifié peut donc uploader un fichier sur vtiger
CRM, afin d’exécuter du code PHP.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/vtiger-CRM-execution-de-code-PHP-13676