漏洞信息
# EspoCRM中危险类型的文件不受限制上传漏洞
## 漏洞概述
一个经过身份验证的特权攻击者可以通过 EspoCRM 服务器的更新表单上传一个特制的 zip 文件,从而导致任意 PHP 代码执行。
## 影响版本
- EspoCRM 7.2.5
## 漏洞细节
攻击者通过更新表单上传一个特制的 zip 文件,服务器在处理该文件时可能会执行其中包含的任意 PHP 代码。
## 影响
成功利用此漏洞可能导致攻击者在服务器上执行任意 PHP 代码,进而控制服务器。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Unrestricted Upload of File with Dangerous Type in EspoCRM
漏洞描述信息
An authenticated privileged attacker could upload a specially crafted zip to the EspoCRM server in version 7.2.5, via the update form, which could lead to arbitrary PHP code execution.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
漏洞类别
危险类型文件的不加限制上传
漏洞标题
EspoCRM 代码问题漏洞
漏洞描述信息
EspoCRM是一套开源的基于Web的客户关系管理系统(CRM)。该系统提供销售自动化、社区和客户支持等功能。 EspoCRM 7.2.5 版本存在代码问题漏洞,该漏洞源于存在任意 PHP 代码执行。
CVSS信息
N/A
漏洞类别
代码问题