Podatność SQL Injection w aplikacji SuiteCRM wynika z nieprawidłowej walidacji danych wejściowych w kontrolerze EmailUIAjax displayView. Ze względu na wysoki wynik CVSS (9.6) i zmieniony zakres (Scope: Changed), zagrożenie może wykraczać poza bezpośrednio atakowany komponent.
▸ Pokaż oryginał (EN)
SuiteCRM is an open-source Customer Relationship Management (CRM) software application. In versions prior to 7.14.4 and 8.6.1, poor input validation allows for SQL Injection in EmailUIAjax displayView controller. Versions 7.14.4 and 8.6.1 contain a fix for this issue.
Atakujący uwierzytelniony w aplikacji może przesyłać złośliwie spreparowane dane wejściowe do kontrolera EmailUIAjax displayView, które nie są odpowiednio walidowane ani sanityzowane. Pozwala to na wstrzyknięcie dowolnych zapytań SQL do bazy danych obsługującej aplikację SuiteCRM. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika ani wysokich uprawnień.
Atakujący może manipulować danymi w bazie danych oraz niszczyć lub modyfikować jej zawartość, co odpowiada wysokiemu wpływowi na integralność i dostępność systemu (I:H, A:H). Exploit może prowadzić do nieuprawnionej modyfikacji lub usunięcia danych CRM oraz zakłócenia działania aplikacji.
Należy zaktualizować SuiteCRM do wersji 7.14.4 lub nowszej (dla gałęzi 7.x) albo do wersji 8.6.1 lub nowszej (dla gałęzi 8.x), które zawierają poprawkę dla tego błędu. Szczegóły dostępne w repozytorium producenta na GitHub.
SuiteCRM w wersjach wcześniejszych niż 7.14.4 oraz wcześniejszych niż 8.6.1 (produkt firmy Salesagility)
Poprawka dostępna w wersjach 7.14.4 i 8.6.1, opublikowanych przez producenta Salesagility. Szczegółowe informacje dostępne pod adresem: https://github.com/salesagility/SuiteCRM/security/advisories/GHSA-9rvr-mcrf-p4p7
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:HSalesagility Suitecrm
APPSalesagility< 7.14.48.0.0 – 8.6.1 (bez)
Powiązane podatności
SQL Injection w SuiteCRM umożliwiające zdalne wykonanie kodu (RCE)
SQL Injection w kontrolerze Alerts aplikacji SuiteCRM
SQL Injection w SuiteCRM — kontroler EmailUIAjax messages count
SQL Injection w SuiteCRM — punkt wejścia danych drzewa
SQL injection w SuiteCRM poprzez punkt wejścia odpowiedzi na zdarzenia