Vulnerabilidad en administrator.php en Epignosis eFront Open Source Edition (CVE-2015-1559)

Múltiples vulnerabilidades de CSRF en administrator.php en Epignosis eFront Open Source Edition en versiones anteriores a 3.6.15.3 build 18022 permiten a atacantes remotos secuestrar la autenticación de administradores para las peticiones que (1) eliminan módulos a través del parámetro delete_module, (2) desactivan módulos a través del parámetro deactivate_module, (3) activan módulos a través del parámetro activate_module, (4) eliminan usuarios a través del parámetro delete_user, (5) desactivar usuarios a través del parámetro deactivate_user, (6) activar usuarios a través del parámetro activate_user, (7) activar temas a través del parámetro set_theme, (8) desactivar temas a través del parámetro set_theme, (9) eliminar temas a través del parámetro delete, (10) desactivar eventos (registro de usuario o activación de correo electrónico) a través del parámetro deactivate_notification, (11) activar eventos a través del parámetro activate_notification, (12) borrar eventos a través del parámetro delete_notification, (13) desactivar la configuración de idioma a través del parámetro deactivate_language, (14) activar la configuración de idioma mediante el parámetro activate_language, (15) borrar la configuración de idioma a través del parámetro delete_language o (16) activar o desactivar la función de inicio de sesión automático para un usuario a través de una solicitud de mantenimiento manipulada.