vtiger CRM 是基于web的开源客户关系管理系统。 vtiger CRM 5.2.1之前版本中的include/utils/utils.php文件中的return_application_language函数中存在多个目录遍历漏洞。远程攻击者可以借助(1)phprint.php文件中的lang_crm参数或者(2)对graph.php文件的Accounts Import操作中current_language参数中的\"..\"操作符包含并执行任意本地文件。
vtiger CRM 是基于web的开源客户关系管理系统。 vtiger CRM 5.2.1之前版本中的include/utils/utils.php文件中的return_application_language函数中存在多个目录遍历漏洞。远程攻击者可以借助(1)phprint.php文件中的lang_crm参数或者(2)对graph.php文件的Accounts Import操作中current_language参数中的\"..\"操作符包含并执行任意本地文件。