Vigil@nce - vtiger CRM : injection SQL de CalendarCommon.php
octobre 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer une injection SQL dans
CalendarCommon.php de vtiger CRM, afin de lire ou modifier des
données.
Produits concernés : vtiger CRM
Gravité : 2/4
Date création : 17/09/2013
Date révision : 19/09/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit vtiger CRM possède un calendrier.
Le paramètre "onlyforuser" indique de restreindre l’information du
calendrier. Cependant, les données de ce paramètre sont
directement insérées dans une requête SQL.
Un attaquant peut donc provoquer une injection SQL dans
CalendarCommon.php de vtiger CRM, afin de lire ou modifier des
données.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/vtiger-CRM-injection-SQL-de-CalendarCommon-php-13436