Vigil@nce - vtiger CRM : exécution de code PHP
novembre 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant authentifié peut uploader un fichier sur vtiger CRM,
afin d’exécuter du code PHP.
Produits concernés : vtiger CRM
Gravité : 2/4
Date création : 31/10/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit vtiger CRM permet aux utilisateurs authentifiés
d’uploader des images.
Cependant, un attaquant peut uploader un fichier portant
l’extension ".php3". Il peut ensuite accéder à ce fichier, qui est
interprété en tant que langage PHP.
Un attaquant authentifié peut donc uploader un fichier sur vtiger
CRM, afin d’exécuter du code PHP.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/vtiger-CRM-execution-de-code-PHP-13676