CRITICAL🇬🇧 English

CVE-2024-36412

SQL injection w SuiteCRM poprzez punkt wejścia odpowiedzi na zdarzenia

CVSS 10.0v3.1pub. 2024-06-10upd. 2024-11-21

SuiteCRM w wersjach przed 7.14.4 i 8.6.1 zawiera krytyczną podatność typu SQL injection w punkcie wejścia obsługi odpowiedzi na zdarzenia (events response entry point). Podatność uzyskała maksymalny wynik CVSS 10.0, co oznacza możliwość pełnego przejęcia systemu bez uwierzytelnienia.

Pokaż oryginał (EN)

SuiteCRM is an open-source Customer Relationship Management (CRM) software application. Prior to versions 7.14.4 and 8.6.1, a vulnerability in events response entry point allows for a SQL injection attack. Versions 7.14.4 and 8.6.1 contain a fix for this issue.

🤖 Analiza AI
Jak działa

Atakujący może wysłać specjalnie spreparowane żądanie do punktu wejścia odpowiedzi na zdarzenia w aplikacji SuiteCRM, wstrzykując złośliwy kod SQL. Brak odpowiedniej walidacji i sanityzacji danych wejściowych pozwala na manipulację zapytaniami do bazy danych. Atak nie wymaga uwierzytelnienia, interakcji użytkownika ani szczególnych uprawnień, a jego zakres wykracza poza bezpośrednio atakowany komponent (Scope: Changed).

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych, modyfikować lub usuwać dane, a w sprzyjających warunkach przejąć pełną kontrolę nad systemem — prowadząc do naruszenia poufności, integralności i dostępności aplikacji.

Mitygacja

Należy zaktualizować SuiteCRM do wersji 7.14.4 lub 8.6.1, które zawierają poprawkę eliminującą tę podatność. Szczegóły dostępne w referencjach producenta pod adresem: https://github.com/salesagility/SuiteCRM/security/advisories/GHSA-xjx2-38hv-5hh8

Kogo dotyczy

SuiteCRM (Salesagility) w wersjach wcześniejszych niż 7.14.4 oraz wcześniejszych niż 8.6.1

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Salesagility Suitecrm

    APP
    Salesagility
    < 7.14.48.0.0 – 8.6.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2022-50589CRITICAL9.3PL ✓ten sam produkt

SQL Injection w SuiteCRM umożliwiające zdalne wykonanie kodu (RCE)

CVE-2024-36408CRITICAL9.6PL ✓ten sam produkt

SQL Injection w kontrolerze Alerts aplikacji SuiteCRM

CVE-2024-36410CRITICAL9.6PL ✓ten sam produkt

SQL Injection w SuiteCRM — kontroler EmailUIAjax messages count

CVE-2024-36409CRITICAL9.6PL ✓ten sam produkt

SQL Injection w SuiteCRM — punkt wejścia danych drzewa

CVE-2024-36411CRITICAL9.6PL ✓ten sam produkt

SQL Injection w SuiteCRM — kontroler EmailUIAjax displayView