Našlo sa niekoľko chýb v 3 Softvér s otvoreným zdrojom, ktorý používa niekoľko firiem

Výskumníci v oblasti kybernetickej bezpečnosti v utorok odhalili deväť bezpečnostných zraniteľností ovplyvňujúcich tri projekty s otvoreným zdrojovým kódom – EspoCRM, Pimcore a Akaunting – ktoré sú široko používané niekoľkými malými a strednými podnikmi a ak by boli úspešne zneužité, mohli by poskytnúť cestu k sofistikovanejším útokom.

Všetky príslušné bezpečnostné chyby, ktoré ovplyvňujú EspoCRM v6.1.6, Pimcore Customer Data Framework v3.0.0, Pimcore AdminBundle v6.8.0a Akaunting v2.1.12, boli opravené do jedného dňa od zodpovedného zverejnenia, poznamenali výskumníci Wiktor Sędkowski z Nokie a Trevor Christiansen z Rapid7. Šesť z deviatich nedostatkov bolo odhalených v projekte Akaunting.

EspoCRM je open source aplikácia na riadenie vzťahov so zákazníkmi (CRM), zatiaľ čo Pimcore je open source podniková softvérová platforma pre správu údajov o zákazníkoch, správu digitálnych aktív, správu obsahu a digitálny obchod. Akaunting, na druhej strane, je open source a online účtovný softvér určený na sledovanie faktúr a výdavkov.

Zoznam problémov je nasledujúci –

  • CVE-2021-3539 (skóre CVSS: 6.3) – Trvalá chyba XSS v EspoCRM v6.1.6
  • CVE-2021-31867 (skóre CVSS: 6.5) – SQL injection v Pimcore Customer Data Framework v3.0.0
  • CVE-2021-31869 (skóre CVSS: 6.5) – SQL injection v Pimcore AdminBundle v6.8.0
  • CVE-2021-36800 (skóre CVSS: 8.7) – Vloženie príkazov OS v Akaunting v2.1.12
  • CVE-2021-36801 (skóre CVSS: 8.5) – Premostenie overenia v Akaunting v2.1.12
  • CVE-2021-36802 (skóre CVSS: 6.5) – Odmietnutie služby prostredníctvom premennej „miestneho nastavenia“ ovládanej používateľom v Akaunting v2.1.12
  • CVE-2021-36803 (skóre CVSS: 6.3) – Trvalé XSS počas nahrávania avatara v Akaunting v2.1.12
  • CVE-2021-36804 (skóre CVSS: 5.4) – Slabé obnovenie hesla v Akaunting v2.1.12
  • CVE-2021-36805 (skóre CVSS: 5.2) – Trvalé XSS päty faktúry v Akaunting v2.1.12

Úspešné využitie nedostatkov by mohlo umožniť overenému protivníkovi spustiť ľubovoľný kód JavaScript, ovládnuť základný operačný systém a použiť ho ako základňu na spustenie ďalších hanebných útokov, spustiť odmietnutie služby prostredníctvom špeciálne pripravenej požiadavky HTTP a dokonca zmeniť spoločnosť priradenú k používateľskému účtu bez akéhokoľvek oprávnenia.

EspoCRM
Pimcore Customer Data Framework

Akaunting rieši aj slabú zraniteľnosť pri resetovaní hesla, pri ktorej môže útočník zneužiť funkciu „Zabudol som heslo“ na odoslanie phishingového e-mailu z aplikácie registrovanému používateľovi, ktorý obsahuje škodlivý odkaz, na ktorý sa po kliknutí dostane token na obnovenie hesla. Zlý herec potom môže použiť token na nastavenie hesla podľa vlastného výberu.

„Všetky tri tieto projekty majú skutočných používateľov, skutočných zákazníkov ich sprievodných podporných služieb a verzií hostovaných v cloude a sú nepochybne hlavnými aplikáciami, ktoré dnes fungujú pre tisíce malých a stredných podnikov,“ uviedli vedci.

“Všetky tieto problémy vyrieši aktualizácia na najnovšie verzie dotknutých aplikácií. Ak je aktualizácia ťažká alebo nemožná z dôvodu vonkajších faktorov alebo zvykových, miestnych zmien, používatelia týchto aplikácií môžu obmedziť svoje vystavenie tým, že nebudú prezentovať svoje produkčné inštancie.” priamo na internet – namiesto toho ich vystavte iba dôveryhodným interným sieťam s dôveryhodnými zasvätenými osobami.“