SuiteCRM w wersjach przed 7.14.4 i 8.6.1 zawiera krytyczną podatność typu SQL injection w punkcie wejścia obsługi odpowiedzi na zdarzenia (events response entry point). Podatność uzyskała maksymalny wynik CVSS 10.0, co oznacza możliwość pełnego przejęcia systemu bez uwierzytelnienia.
▸ Pokaż oryginał (EN)
SuiteCRM is an open-source Customer Relationship Management (CRM) software application. Prior to versions 7.14.4 and 8.6.1, a vulnerability in events response entry point allows for a SQL injection attack. Versions 7.14.4 and 8.6.1 contain a fix for this issue.
Atakujący może wysłać specjalnie spreparowane żądanie do punktu wejścia odpowiedzi na zdarzenia w aplikacji SuiteCRM, wstrzykując złośliwy kod SQL. Brak odpowiedniej walidacji i sanityzacji danych wejściowych pozwala na manipulację zapytaniami do bazy danych. Atak nie wymaga uwierzytelnienia, interakcji użytkownika ani szczególnych uprawnień, a jego zakres wykracza poza bezpośrednio atakowany komponent (Scope: Changed).
Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych, modyfikować lub usuwać dane, a w sprzyjających warunkach przejąć pełną kontrolę nad systemem — prowadząc do naruszenia poufności, integralności i dostępności aplikacji.
Należy zaktualizować SuiteCRM do wersji 7.14.4 lub 8.6.1, które zawierają poprawkę eliminującą tę podatność. Szczegóły dostępne w referencjach producenta pod adresem: https://github.com/salesagility/SuiteCRM/security/advisories/GHSA-xjx2-38hv-5hh8
SuiteCRM (Salesagility) w wersjach wcześniejszych niż 7.14.4 oraz wcześniejszych niż 8.6.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HSalesagility Suitecrm
APPSalesagility< 7.14.48.0.0 – 8.6.1 (bez)
Powiązane podatności
SQL Injection w SuiteCRM umożliwiające zdalne wykonanie kodu (RCE)
SQL Injection w kontrolerze Alerts aplikacji SuiteCRM
SQL Injection w SuiteCRM — kontroler EmailUIAjax messages count
SQL Injection w SuiteCRM — punkt wejścia danych drzewa
SQL Injection w SuiteCRM — kontroler EmailUIAjax displayView