ZeroBox Vulnerability Database

漏洞起因
访问验证错误
危险等级
低
 
影响系统
SugarCRM SugarCRM 5.2 j
SugarCRM SugarCRM 5.2 i
SugarCRM SugarCRM 5.2 h
SugarCRM SugarCRM 5.2 g
SugarCRM SugarCRM 5.2 e
SugarCRM SugarCRM 5.0 m
SugarCRM SugarCRM 5.0 l
SugarCRM SugarCRM 5.0 k
SugarCRM SugarCRM 6.1.1
SugarCRM SugarCRM 5.5.0a
SugarCRM SugarCRM 5.5.0.RC4
SugarCRM SugarCRM 5.5.0.RC2
SugarCRM SugarCRM 5.2.0l
SugarCRM SugarCRM 5.2.0k
SugarCRM SugarCRM 5.2.0j
 
不受影响系统
SugarCRM SugarCRM 6.1.3
 
危害
远程攻击者可以利用漏洞获得敏感客户信息。
 
攻击所需条件
攻击者必须访问SugarCRM。
 
漏洞信息
SugarCRM是一款客户关系管理系统。
当创建一个新客户时，SugarCRM会执行重复检查并警告用户，如果客户使用已经存在的相同用户名，警告页面会包含冲突条目的列表信息，而没有检查条目相关的属主。更甚的是，当在这个点重载此页面时，即使用户列表权限限制为Owner，也会显示完整的所有客户端列表。导致敏感信息泄露。
 
测试方法
如下URL将显示所有customers ("accounts")列表:
http://www.example.org/sugarcrm/index.php?module=Accounts&action=ShowDup
licates
如下URL将显示所有联系人:
http://www.example.org/sugarcrm/index.php?module=Contacts&action=ShowDup
licates
 
厂商解决方案 
SugarCRM 6.1.3已经修复此漏洞，建议用户下载使用：
http://www.sugarcrm.com/
 
漏洞提供者
RedTeam Pentesting GmbH