В CRM-системе ASoft найдена опасная уязвимость

Эксперт Positive Technologies Ариан Рахими обнаружил уязвимость в ASoft CRM - CRM-системе для управления проектами. Система позволяет оптимизировать внутренние процессы, коммуникацию с клиентами, управление маркетингом, продажами, складом и электронным документооборотом. Она применяется в сфере маркетинга, финансов, образования и логистики.

Обнаруженная уязвимость получила идентификатор BDU:2022-04486, ей был присвоен высокий уровень опасности (7,5 балла по шкале CVSS 3.0). Недостаточно проработанные механизмы безопасности в ASoft CRM позволяли злоумышленнику использовать уязвимость типа Path Traversal и выполнять чтение любого файла.