CRITICAL🇬🇧 English

CVE-2024-36409

SQL Injection w SuiteCRM — punkt wejścia danych drzewa

CVSS 9.6v3.1pub. 2024-06-10upd. 2024-11-21

W aplikacji SuiteCRM wykryto podatność typu SQL Injection wynikającą z niewystarczającej walidacji danych wejściowych w komponencie obsługi danych drzewa (Tree data entry point). Podatność otrzymała ocenę CVSS 9.6 (CRITICAL), co wskazuje na poważne zagrożenie dla integralności i dostępności systemu.

Pokaż oryginał (EN)

SuiteCRM is an open-source Customer Relationship Management (CRM) software application. In versions prior to 7.14.4 and 8.6.1, poor input validation allows for SQL Injection in Tree data entry point. Versions 7.14.4 and 8.6.1 contain a fix for this issue.

🤖 Analiza AI
Jak działa

Atakujący posiadający konto w systemie (uwierzytelniony, z niskim poziomem uprawnień) może wysłać spreparowane zapytanie do punktu wejścia danych drzewa, które zawiera złośliwy kod SQL. Brak odpowiedniej walidacji i sanityzacji danych wejściowych powoduje, że wstrzyknięty kod SQL jest przekazywany bezpośrednio do silnika bazy danych i wykonywany. Exploit nie wymaga interakcji po stronie innego użytkownika i działa zdalnie przez sieć.

Skutki

Skuteczne wykorzystanie podatności może umożliwić atakującemu manipulację danymi w bazie danych (naruszenie integralności) oraz zakłócenie działania lub niedostępność systemu CRM (naruszenie dostępności). Zakres podatności wykracza poza kontekst aplikacji, co oznacza potencjalny wpływ na zasoby poza bezpośrednią kontrolą aplikacji.

Mitygacja

Należy zaktualizować SuiteCRM do wersji 7.14.4 lub nowszej (dla gałęzi 7.x) albo do wersji 8.6.1 lub nowszej (dla gałęzi 8.x), które zawierają poprawkę dla tego problemu. Szczegółowe informacje dostępne są w oficjalnym security advisory producenta na GitHub.

Kogo dotyczy

SuiteCRM w wersjach wcześniejszych niż 7.14.4 oraz wcześniejszych niż 8.6.1 (obie linie wydań produktu Salesagility SuiteCRM).

Uwagi

Poprawka została wydana w wersjach 7.14.4 i 8.6.1, zgodnie z oficjalnym security advisory opublikowanym przez Salesagility na GitHub (GHSA-pxq4-vw23-v73f).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
  • Salesagility Suitecrm

    APP
    Salesagility
    < 7.14.48.0.0 – 8.6.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2022-50589CRITICAL9.3PL ✓ten sam produkt

SQL Injection w SuiteCRM umożliwiające zdalne wykonanie kodu (RCE)

CVE-2024-36408CRITICAL9.6PL ✓ten sam produkt

SQL Injection w kontrolerze Alerts aplikacji SuiteCRM

CVE-2024-36411CRITICAL9.6PL ✓ten sam produkt

SQL Injection w SuiteCRM — kontroler EmailUIAjax displayView

CVE-2024-36410CRITICAL9.6PL ✓ten sam produkt

SQL Injection w SuiteCRM — kontroler EmailUIAjax messages count

CVE-2024-36412CRITICAL10.0PL ✓ten sam produkt

SQL injection w SuiteCRM poprzez punkt wejścia odpowiedzi na zdarzenia