-
09/04/2020
-
85
-
553 bài viết
Cảnh báo lỗ hổng chèn lệnh SQL nghiêm trọng trong 3CX CRM
Công ty 3CX vừa đưa ra cảnh báo khẩn về một lỗ hổng nghiêm trọng trong sản phẩm của hãng có thể dẫn đến truy cập trái phép vào lượng lớn dữ liệu nhạy cảm, nguy hiểm hơn là chiếm quyền kiểm soát hoàn toàn cơ sở dữ liệu.
3CX (trụ sở tại Mỹ) hiện sở hữu hơn 600.000 khách hàng và 12 triệu người dùng mỗi ngày ở 190 quốc gia, bao gồm nhiều thương hiệu lớn như American Express, BMW, Honda, Ikea, Pepsi, Toyota…
Lỗ hổng có mã định danh CVE-2023-49954, là lỗi chèn lệnh SQL (SQL Injection) tồn tại trong 3CX CRM. Theo thống kê, ít nhất 875 khách hàng có nguy cơ bị ảnh hưởng bởi lỗ hổng này.
CRM (Customer Relationship Management) là một giải pháp lưu trữ thông tin khách hàng vào cơ sở dữ liệu, cho phép quản lý quan hệ khách hàng.
Lỗ hổng đặc biệt nhắm mục tiêu vào các biểu mẫu dùng để tích hợp CRM do 3CX cung cấp nhằm kết nối với các cơ sở dữ liệu như MongoDB, MsSQL, MySQL và PostgreSQL.
Các mẫu này sử dụng thuộc tính placeholder (làm rõ thông tin cần nhập) trong các trường dữ liệu như [FirstName], [SearchText] nhưng đã không kiểm tra đầy đủ dữ liệu đầu vào của người dùng, dẫn đến bị tấn công chèn lệnh SQL. Kết quả là cho phép kẻ tấn công can thiệp vào truy vấn cơ sở dữ liệu, truy cập hoặc làm hỏng các dữ liệu quan trọng.
Lỗ hổng CVE-2023-49954 ảnh hưởng đến phiên bản 18 và 20 của phần mềm VoIP có tích hợp CRM và chưa có bản vá.
3CX nhấn mạnh giải pháp khả thi duy nhất là người dùng nên vô hiệu hóa việc tích hợp CRM bằng cách thiết lập giải pháp CRM thành 'None' cho đến khi có bản vá chính thức.
3CX (trụ sở tại Mỹ) hiện sở hữu hơn 600.000 khách hàng và 12 triệu người dùng mỗi ngày ở 190 quốc gia, bao gồm nhiều thương hiệu lớn như American Express, BMW, Honda, Ikea, Pepsi, Toyota…
Lỗ hổng có mã định danh CVE-2023-49954, là lỗi chèn lệnh SQL (SQL Injection) tồn tại trong 3CX CRM. Theo thống kê, ít nhất 875 khách hàng có nguy cơ bị ảnh hưởng bởi lỗ hổng này.
CRM (Customer Relationship Management) là một giải pháp lưu trữ thông tin khách hàng vào cơ sở dữ liệu, cho phép quản lý quan hệ khách hàng.
Lỗ hổng đặc biệt nhắm mục tiêu vào các biểu mẫu dùng để tích hợp CRM do 3CX cung cấp nhằm kết nối với các cơ sở dữ liệu như MongoDB, MsSQL, MySQL và PostgreSQL.
Các mẫu này sử dụng thuộc tính placeholder (làm rõ thông tin cần nhập) trong các trường dữ liệu như [FirstName], [SearchText] nhưng đã không kiểm tra đầy đủ dữ liệu đầu vào của người dùng, dẫn đến bị tấn công chèn lệnh SQL. Kết quả là cho phép kẻ tấn công can thiệp vào truy vấn cơ sở dữ liệu, truy cập hoặc làm hỏng các dữ liệu quan trọng.
Lỗ hổng CVE-2023-49954 ảnh hưởng đến phiên bản 18 và 20 của phần mềm VoIP có tích hợp CRM và chưa có bản vá.
3CX nhấn mạnh giải pháp khả thi duy nhất là người dùng nên vô hiệu hóa việc tích hợp CRM bằng cách thiết lập giải pháp CRM thành 'None' cho đến khi có bản vá chính thức.
Theo Security Online
Chỉnh sửa lần cuối: