備忘録:SugarCRM

過去の資料から

「オープンソースCRM「SugarCRM」にクロスサイトスクリプティングの脆弱性

独立行政法人情報処理推進機構(IPA)セキュ リティセンターは2006年12月21日、オープンソースの顧客管理ソフト「SugarCRM」にクロスサイト・スクリプテイングの脆弱性がみつかったと 発表した。影響を受けるシステムはSugarCRM 4.5.0f以前。
SugarCRMにログイン中のユーザーが悪意あるページに誘導され、Webブラウザ上で任意のスクリプトを実行されるおそれがあるという。ウェブページを出力する際の処理が不適切なため。

また、Cookieに含まれるセッション情報が漏洩すると、セッション・ハイジャックが行われる可能性があるという。

開発元の米SugarCRMは、この脆弱性に対応するバグフィックスを行った「Sugar 4.5.0 Patch G」を12月15日(米国時間)に公開。早急に適用するよう強く推奨している。【鴨沢 浅葱/Infostand】

IPAのSugarCRM脆弱性情報
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_74079537.html

米SugarCRMのパッチ情報
http://www.sugarcrm.com/forums/showthread.php?p=62671#post62671

元ねたURL
http://opentechpress.jp/security/article.pl?sid=06/12/26/0435201&from=rss