CRITICAL🇬🇧 English

CVE-2026-29103

RCE w SuiteCRM — bypass patcha CVE-2024-49774 przez błąd w ModuleScanner

CVSS 9.1v3.1pub. 2026-03-19upd. 2026-03-24

SuiteCRM 7.15.0 i 8.9.2 zawiera krytyczną podatność umożliwiającą uwierzytelnionym administratorom wykonanie dowolnych poleceń systemowych (RCE). Jest to bezpośrednie obejście wcześniejszego patcha dla CVE-2024-49774, który okazał się nieskuteczny.

Pokaż oryginał (EN)

SuiteCRM is an open-source, enterprise-ready Customer Relationship Management (CRM) software application. A Critical Remote Code Execution (RCE) vulnerability exists in SuiteCRM 7.15.0 and 8.9.2, allowing authenticated administrators to execute arbitrary system commands. This vulnerability is a direct Patch Bypass of CVE-2024-49774. Although the vendor attempted to fix the issue in version 7.14.5, the underlying flaw in ModuleScanner.php regarding PHP token parsing remains. The scanner incorrectly resets its internal state ($checkFunction flag) when encountering any single-character token (such as =, ., or ;). This allows attackers to hide dangerous function calls (e.g., system(), exec()) using variable assignments or string concatenation, completely evading the MLP security controls. Versions 7.15.1 and 8.9.3 patch the issue.

🤖 Analiza AI
Jak działa

Błąd tkwi w pliku ModuleScanner.php, odpowiedzialnym za analizę tokenów PHP w ramach mechanizmu bezpieczeństwa MLP. Skaner nieprawidłowo resetuje wewnętrzny stan flagi $checkFunction po napotkaniu dowolnego pojedynczego tokenu (np. =, . lub ;). Atakujący może wykorzystać tę lukę, ukrywając wywołania niebezpiecznych funkcji (np. system(), exec()) wewnątrz przypisań zmiennych lub konkatenacji ciągów znaków. W efekcie kontrole bezpieczeństwa MLP zostają całkowicie ominięte, a złośliwy kod przechodzi walidację bez wykrycia.

Skutki

Uwierzytelniony administrator może wykonać dowolne polecenia systemowe na serwerze, co w praktyce oznacza pełne przejęcie kontroli nad systemem, wyciek danych oraz możliwość dalszego ruchu lateralnego w sieci.

Mitygacja

Należy zaktualizować SuiteCRM do wersji 7.15.1 lub 8.9.3, które zawierają poprawkę opisywanej podatności. Szczegóły dostępne w oficjalnych notach wydania producenta oraz w poradniku bezpieczeństwa GitHub.

Kogo dotyczy

SuiteCRM w wersjach 7.15.0 oraz 8.9.2

Uwagi

Podatność stanowi patch bypass dla CVE-2024-49774 — poprzednia próba naprawy w wersji 7.14.5 okazała się nieskuteczna ze względu na niezmieniony mechanizm parsowania tokenów PHP w ModuleScanner.php. Pomimo wymaganego uwierzytelnienia jako administrator, wysoki wynik CVSS 9.1 wynika ze zmienionego zakresu ataku (Scope: Changed) i pełnego wpływu na poufność, integralność oraz dostępność.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Suitecrm

    APP
    Suitecrm
    < 7.15.18.0.0 – 8.9.3 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-33288HIGH8.8ten sam produkt

SuiteCRM is an open-source, enterprise-ready Customer Relationship Management (CRM) software application. Prio...

CVE-2026-33289HIGH8.8ten sam produkt

SuiteCRM is an open-source, enterprise-ready Customer Relationship Management (CRM) software application. Prio...

CVE-2026-29109HIGH8.6ten sam produkt

SuiteCRM is an open-source, enterprise-ready Customer Relationship Management (CRM) software application. Vers...

CVE-2026-29189HIGH8.1ten sam produkt

SuiteCRM is an open-source, enterprise-ready Customer Relationship Management (CRM) software application. Prio...

CVE-2026-29097HIGH7.1ten sam produkt

SuiteCRM is an open-source, enterprise-ready Customer Relationship Management (CRM) software application. Vers...

CVE-2026-29103 — RCE w SuiteCRM — bypass patcha CVE-2024-49774 przez błąd w ModuleScanner — CRITICAL 9.1 | CVEbaza.pl