W aplikacji SuiteCRM wykryto podatność typu SQL Injection wynikającą z niewystarczającej walidacji danych wejściowych w komponencie obsługi danych drzewa (Tree data entry point). Podatność otrzymała ocenę CVSS 9.6 (CRITICAL), co wskazuje na poważne zagrożenie dla integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
SuiteCRM is an open-source Customer Relationship Management (CRM) software application. In versions prior to 7.14.4 and 8.6.1, poor input validation allows for SQL Injection in Tree data entry point. Versions 7.14.4 and 8.6.1 contain a fix for this issue.
Atakujący posiadający konto w systemie (uwierzytelniony, z niskim poziomem uprawnień) może wysłać spreparowane zapytanie do punktu wejścia danych drzewa, które zawiera złośliwy kod SQL. Brak odpowiedniej walidacji i sanityzacji danych wejściowych powoduje, że wstrzyknięty kod SQL jest przekazywany bezpośrednio do silnika bazy danych i wykonywany. Exploit nie wymaga interakcji po stronie innego użytkownika i działa zdalnie przez sieć.
Skuteczne wykorzystanie podatności może umożliwić atakującemu manipulację danymi w bazie danych (naruszenie integralności) oraz zakłócenie działania lub niedostępność systemu CRM (naruszenie dostępności). Zakres podatności wykracza poza kontekst aplikacji, co oznacza potencjalny wpływ na zasoby poza bezpośrednią kontrolą aplikacji.
Należy zaktualizować SuiteCRM do wersji 7.14.4 lub nowszej (dla gałęzi 7.x) albo do wersji 8.6.1 lub nowszej (dla gałęzi 8.x), które zawierają poprawkę dla tego problemu. Szczegółowe informacje dostępne są w oficjalnym security advisory producenta na GitHub.
SuiteCRM w wersjach wcześniejszych niż 7.14.4 oraz wcześniejszych niż 8.6.1 (obie linie wydań produktu Salesagility SuiteCRM).
Poprawka została wydana w wersjach 7.14.4 i 8.6.1, zgodnie z oficjalnym security advisory opublikowanym przez Salesagility na GitHub (GHSA-pxq4-vw23-v73f).
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:HSalesagility Suitecrm
APPSalesagility< 7.14.48.0.0 – 8.6.1 (bez)
Powiązane podatności
SQL Injection w SuiteCRM umożliwiające zdalne wykonanie kodu (RCE)
SQL Injection w kontrolerze Alerts aplikacji SuiteCRM
SQL Injection w SuiteCRM — kontroler EmailUIAjax displayView
SQL Injection w SuiteCRM — kontroler EmailUIAjax messages count
SQL injection w SuiteCRM poprzez punkt wejścia odpowiedzi na zdarzenia