Studio Synthesis

crm, BI, opensource, web marketing, sicurezza, etc

vtiger CRM webform: security issue

leave a comment »

Come è possibile leggere (in inglese) in questo thread su uno dei forum di vtiger.com, è stato individuato un piccolo problema di sicurezza nella gestione del componente webform per vtiger versioni 5.0.x

I webform sono un metodo per inserire dati nel sistema CRM a partire da una pagina web – per vtiger è possibile inserire nuovi Lead e Contatti.

La falla di sicurezza sta nel fatto che per inserire nuovi dati nel database di una qualsiasi installazione di vtiger CRM esposta su internet non è necessario alcun tipo di autenticazione. Infatti, nel file config.php del componente aggiuntivo webform è sufficiente settare la variabile $Server_Path e farla puntare a un percorso valido (di un’installazione di vtiger).

Detto in altro modo: installando il webform di vtiger CRM nel mio sito, posso inserire se lo voglio contatti e lead arbitrariamente nel vtiger di chiunque, a condizione che questo sia raggiungibile via web.

La risposta del team di sviluppo è abbastanza semplice: l’implementazione dei webform ad oggi è basica, e sarà riscritta con la versione 5.1 del software. Chi lo ritiene opportuno, se non utilizza i webforms, può rinominare nella propria installazione il file /soap/webforms.php in /soap/webforms.php.txt (e in questo modo rinuncia a “esporre il servizio”).

Written by cbeschi

17 febbraio 2009 a 10:03 AM

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: