日前三大热门开源项目——EspoCRM、Pimcore和Akaunting被曝出存在九个安全漏洞。研究人员指出：“这三个项目已被广泛应用于数千家企业用户，是支持其服务和云托管工作的核心应用程序。如果这些漏洞被攻击者成功利用，可能会为更复杂的攻击提供途径。”

诺基亚和Trevor的技术人员Wiktor Sędkowski表示，这些漏洞会影响EspoCRM v6.1.6、Pimcore客户数据框架v3.0.0、Pimcore AdminBundle v6.8.0和Akaunting v2.1.12，但已在相关漏洞披露后的一天内进行了修复处理。

EspoCRM是一个开源的客户关系管理(CRM) 应用程序，而Pimcore是一个用于客户数据管理、数字资产管理、内容管理和数字商务的开源企业软件平台。另一方面，Akaunting是一款开源在线会计软件，专为发票和费用跟踪而设计。

问题清单如下——

• CVE-2021-3539（CVSS评分：6.3）- EspoCRM v6.1.6中的持久性XSS缺陷；
• CVE-2021-31867（CVSS评分：6.5）- Pimcore客户数据框架 v3.0.0中的SQL注入；
• CVE-2021-31869（CVSS评分：6.5）-Pimcore AdminBundle v6.8.0；
• CVE-2021-36800（CVSS评分：8.7）-Akaunting v2.1.12中的操作系统命令注入；
• CVE-2021-36801（CVSS评分：8.5）-Akaunting v2.1.12中的身份验证绕过；
• CVE-2021-36802（CVSS评分：6.5）-Akaunting v2.1.12中通过用户控制的“区域设置”变量拒绝服务；
• CVE-2021-36803（CVSS评分：6.3）-在 Akaunting v2.1.12中上传头像期间的持久性XSS；
• CVE-2021-36804（CVSS评分：5.4）-Akaunting v2.1.12中的弱密码重置；
• CVE-2021-36805（CVSS评分：5.2）-Akaunting v2.1.12中的发票页脚持久性XSS。

成功利用这些漏洞可以使绕过身份验证的攻击者执行任意JavaScript代码，控制底层操作系统并将其当做滩头阵地发起额外的恶意攻击，还可以通过特制的HTTP请求触发拒绝服务，甚至更改与用户账户关联的公司，且无需任何授权。

幸运的是，研究人员指出：“用户可以通过更新应用程序版本来解决上述安全问题。对于无法更新的用户，也可以通过隐藏其生产实例来减少威胁暴露面，只需要将生产实例暴露给公司内部网络中的可信人员。”

来源：安全牛