亚龙安恒安全研究小组发现了多个vtiger 客户关系管理系统中的严重漏洞

影响：SQL 注入
风险：高
影响的系统：Vtiger CRM System 5.0.2
细节：
亚龙安恒安全研究小组发现了多个vtiger 客户关系管理系统中的严重SQL 注入漏洞.

如下面的URL:

http://192.168.3.53:80/index.php?module=Accounts&action=AccountsAjax&file=ListView&ajax=true&order_by=accountname&start=0&sorder=DESC&viewname=5 SQL Injection Type: MYSQL_NUM_TYPE_1
Mysql database name: vtigercrm502
Mysql User: root@0x90909090

http://192.168.3.53:80/index.php?module=PurchaseOrder&action=PurchaseOrderAjax&file=ListView&ajax=true&order_by=subject&start=0&sorder=DESC&smodule=PO&viewname=25 SQL Injection Type: MYSQL_NUM_TYPE_1
Mysql database name: vtigercrm502
Mysql User: root@0x90909090

通过注入, 可以很容易获取后台数据库的相关用户和表等敏感信息.

CVE：已经通知
致谢：亚龙安恒安全研究小组
关于亚龙安恒：杭州安恒信息技术有限公司是一家致力于企业和运营商网络关键应用安全和数据库防御审计，安全漏洞查防、固化和性能管理的专业供应商，提供从产品到服务的一揽子解决方案。
联系方式：

www.dbappsecurity.com.cn

info@dbappsecurity.com.cn

杭州总公司

电话：+86-571-28860999
传真：+86-571-28863666
邮编：310053
地址：杭州市滨江区伟业路1号高新软件园九号楼311室
E-mail：info@dbappsecurity.com.cn

北京办事处

电话：+86-010-82350829
邮编：100088
地址：北京市海淀区知春路锦秋家园9号楼305室