Vulnerabilidad en vtiger CRM (CVE-2009-3249)

Múltiples vulnerabilidades de salto de directorio en vtiger CRM versión 5.0.4, permiten a los atacantes remotos incluir y ejecutar archivos locales arbitrarios por medio de un .. (punto punto) en (1) el parámetro module en el archivo graph.php; o el parámetro (2 ) module o (3) file en el archivo include/Ajax/CommonAjax.php, accesible por medio de los archivos modules/Campaigns/CampaignsAjax.php, modules/SalesOrder/SalesOrderAjax.php, modules/System/SystemAjax.php, modules/Products/ProductsAjax.php, modules/uploads/uploadsAjax.php, modules/Dashboard/DashboardAjax.php, modules/Potentials/PotentialsAjax.php, modules/Notes/ NotesAjax.php, modules/Faq/FaqAjax.php, modules/Quotes/QuotesAjax.php, modules/Utilities/UtilitiesAjax.php, modules/Calendar/ActivityAjax.php, modules/Calendar/CalendarAjax.php, modules/PurchaseOrder/PurchaseOrderAjax.php, modules/ HelpDesk/HelpDeskAjax.php, modules/Invoice/InvoiceAjax.php, modules/Accounts/AccountsAjax.php, modules/Reports/ReportsAjax.php, modules/Contacts/ContactsAjax.php y modules/Portal/PortalAjax.php; y permitir que los usuarios autenticados remotos incluyan y ejecuten archivos locales arbitrarios por medio de un .. (punto punto) en el parámetro step en una acción Import en el módulo (4) Accounts, (5) Contacts, (6) HelpDesk, (7) Leads, (8) Potenciales, (9) Products, o (10) Vendors, accesible por medio del archivo index.php y relacionado al archivo modules/Import/index.php y múltiples archivos Import.php.