Các nhà nghiên cứu an ninh mạng hôm thứ Ba đã tiết lộ chín lỗ hổng bảo mật ảnh hưởng đến ba dự án mã nguồn mở – EspoCRM, Pimcore, và Akaunting – được sử dụng rộng rãi bởi một số doanh nghiệp vừa và nhỏ và nếu được khai thác thành công, có thể cung cấp một con đường dẫn đến các cuộc tấn công tinh vi hơn.
Tất cả các lỗi bảo mật được đề cập, ảnh hưởng đến EspoCRM v6.1.6, Pimcore Customer Data Framework v3.0.0, Pimcore AdminBundle v6.8.0 và Akaunting v2.1.12, đã được sửa trong vòng một ngày kể từ khi tiết lộ có trách nhiệm, các nhà nghiên cứu Wiktor S withindkowski của Nokia và Trevor Christiansen của Rapid7 lưu ý. Sáu trong số chín lỗ hổng đã được phát hiện trong dự án Akaunting.
EspoCRM là ứng dụng quản lý quan hệ khách hàng (CRM) mã nguồn mở, trong khi Pimcore là nền tảng phần mềm doanh nghiệp mã nguồn mở để quản lý dữ liệu khách hàng, quản lý tài sản kỹ thuật số, quản lý nội dung và thương mại kỹ thuật số. Mặt khác, Akaunting là một phần mềm kế toán trực tuyến và mã nguồn mở được thiết kế để theo dõi hóa đơn và chi phí.
Danh sách các vấn đề như sau:
- CVE-2021-3539 (Điểm CVSS: 6,3) – Lỗ hổng XSS liên tục trong EspoCRM v6.1.6
- CVE-2021-31867 (Điểm CVSS: 6,5) – Chèn SQL vào Khung dữ liệu khách hàng Pimcore v3.0.0
- CVE-2021-31869 (Điểm CVSS: 6,5) – Pimcore AdminBundle v6.8.0
- CVE-2021-36800 (Điểm CVSS: 8.7) – Chèn lệnh hệ điều hành trong Akaunting v2.1.12
- CVE-2021-36801 (Điểm CVSS: 8,5) – Bỏ qua xác thực trong Akaunting v2.1.12
- CVE-2021-36802 (Điểm CVSS: 6,5) – Từ chối dịch vụ thông qua biến ‘ngôn ngữ’ do người dùng kiểm soát trong Akaunting v2.1.12
- CVE-2021-36803 (Điểm CVSS: 6,3) – XSS liên tục trong quá trình tải ảnh đại diện lên trong Akaunting v2.1.12
- CVE-2021-36804 (Điểm CVSS: 5,4) – Đặt lại mật khẩu yếu trong Akaunting v2.1.12
- CVE-2021-36805 (Điểm CVSS: 5.2) – XSS liên tục ở chân hóa đơn trong Akaunting v2.1.12
Việc khai thác thành công các lỗ hổng có thể cho phép kẻ thù được xác thực thực thi mã JavaScript tùy ý, điều khiển hệ điều hành cơ bản và sử dụng nó như một phương tiện để khởi động các cuộc tấn công bất chính bổ sung, kích hoạt từ chối dịch vụ thông qua một yêu cầu HTTP được tạo đặc biệt và thậm chí thay đổi công ty được liên kết với tài khoản người dùng không có bất kỳ ủy quyền nào.
 |
| EspoCRM |
 |
| Khung dữ liệu khách hàng Pimcore |
Cũng được giải quyết trong Akaunting là một lỗ hổng đặt lại mật khẩu yếu, nơi kẻ tấn công có thể lạm dụng chức năng “Tôi quên mật khẩu của mình” để gửi email lừa đảo từ ứng dụng đến người dùng đã đăng ký có chứa một liên kết độc hại, khi được nhấp vào, sẽ gửi mã thông báo đặt lại mật khẩu. Sau đó, kẻ xấu có thể sử dụng mã thông báo để đặt mật khẩu theo lựa chọn của họ.
Các nhà nghiên cứu lưu ý: “Cả ba dự án này đều có người dùng thực, khách hàng thực của dịch vụ hỗ trợ tiếp viên của họ và các phiên bản được lưu trữ trên đám mây, và chắc chắn là các ứng dụng cốt lõi hỗ trợ hàng nghìn doanh nghiệp vừa và nhỏ đang hoạt động ngày nay”.
“Đối với tất cả các vấn đề này, việc cập nhật lên phiên bản mới nhất của các ứng dụng bị ảnh hưởng sẽ giải quyết được chúng. Nếu việc cập nhật gặp khó khăn hoặc không thể do các yếu tố bên ngoài hoặc các thay đổi cục bộ, tùy chỉnh, người dùng các ứng dụng này có thể hạn chế sự xuất hiện của họ bằng cách không trình bày phiên bản sản xuất của họ trực tiếp với internet – thay vào đó, chỉ hiển thị chúng với các mạng nội bộ đáng tin cậy với những người trong cuộc đáng tin cậy. “
