漏洞信息
# CRIXP OpenCRX 未经验证的密码更改
## 漏洞概述
CRIXP OpenCRX 版本 4.30 和 5.0-20200717 之前存在未验证的密码更改漏洞。攻击者可以连接到受影响的 OpenCRX 实例并更改任何用户,包括 admin-Standard 的密码。
## 影响版本
- 版本 4.30
- 5.0-20200717 及之前的版本
## 漏洞细节
攻击者能够连接到受影响的 OpenCRX 实例并更改任何用户的密码,包括 admin-Standard 用户的密码。
## 影响
攻击者可以随意更改任何用户的密码,导致未经授权的访问控制问题,从而危害系统的安全性。
## 修复版本
该问题已在 5.0-20200904 版本中修复,发布日期为 2020 年 9 月 4 日。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
CRIXP OpenCRX Unverified Password Change
漏洞描述信息
CRIXP OpenCRX version 4.30 and 5.0-20200717 and prior suffers from an unverified password change vulnerability. An attacker who is able to connect to the affected OpenCRX instance can change the password of any user, including admin-Standard, to any chosen value. This issue was resolved in version 5.0-20200904, released September 4, 2020.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
未经验证的口令修改
漏洞标题
Crixp Opencrx 授权问题漏洞
漏洞描述信息
Crixp Crixp Opencrx是瑞士Crixp公司的一款对销售过程进行管理的建站系统。该系统基于Java的客户端的Java API和兼容Swagger的RESTful API,可用于销售,服务,市场营销,联系中心和问题管理等场景。 CRIXP OpenCRX version 4.30版本及5.0-20200717之前版本存在安全漏洞,该漏洞源于存在未经验证的密码更改漏洞。攻击者可利用该漏洞可以将任何用户的密码(包括admin-Standard)更改为所选的任何值。
CVSS信息
N/A
漏洞类别
授权问题