YetiForceCrm 跨站脚本漏洞

CNNVD-ID编号	CNNVD-202208-3616
CVE编号	CVE-2022-2885
发布时间	2022-08-21
更新时间	2022-08-22
漏洞类型	跨站脚本
漏洞来源	N/A
危险等级	中危
威胁类型	本地
厂商	N/A

漏洞介绍

YetiForceCrm是波兰YetiForce公司的一个开源的 Crm 系统。 YetiForceCrm 存在跨站脚本漏洞，该漏洞源于管理员在使用数据库信息功能时，会通过两种情况意外调用并执行恶意代码：（1）具有数据库访问权限的内部攻击者（本地）可以通过在数据库中创建表将恶意内容插入到字段中；（2）系统管理员恶意导入未知来源的数据库。

漏洞补丁

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页： https://github.com/yetiforcecompany/yetiforcecrm

参考网址

来源:CONFIRM

链接：https://huntr.dev/bounties/edeed309-be07-4373-b15e-2d1eb415eb89
来源:MISC

链接：https://github.com/yetiforcecompany/yetiforcecrm/commit/a9ad9ee089b575855b9e5e202b4990a15811e8d2

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202208-3616