vTiger CRM Calendar模块SQL注入漏洞

漏洞信息详情

vTiger CRM Calendar模块SQL注入漏洞

• CNNVD编号：CNNVD-201111-458
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2011-4559
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2011-11-30
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2011-11-30
  
• 厂        商：
  
  vtiger
• 漏洞来源：

Vtiger CRM是美国Vtiger公司的一套基于SugarCRM开发的客户关系管理系统（CRM）。该管理系统提供管理、收集、分析客户信息等功能。

vTiger CRM 5.2.1和之前版本中的Calendar模块存在SQL注入漏洞。远程攻击者可以借助onlyforuser参数执行任意SQL命令。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.vtiger.com/get-started/download

来源: yehg.net

链接:http://yehg.net/lab/pr0js/advisories/%5BvTiger_5.2.1%5D_blind_sqlin

来源: XF

名称: vtigercrm-index-sql-injection(70344)

链接:http://xforce.iss.net/xforce/xfdb/70344

来源: BID

名称: 49948

链接:http://www.securityfocus.com/bid/49948

来源: BUGTRAQ

名称: 20111005 vTiger CRM 5.2.x <= Blind SQL Injection Vulnerability

链接:http://www.securityfocus.com/archive/1/archive/1/520006/100/0/threaded

来源: FULLDISC

名称: 20111005 vTiger CRM 5.2.x <= Blind SQL Injection Vulnerability

链接:http://seclists.org/fulldisclosure/2011/Oct/224

来源: OSVDB

名称: 76138

链接:http://osvdb.org/76138