CRITICAL🇬🇧 English

CVE-2024-36410

SQL Injection w SuiteCRM — kontroler EmailUIAjax messages count

CVSS 9.6v3.1pub. 2024-06-10upd. 2024-11-21

W aplikacji SuiteCRM wykryto podatność SQL Injection wynikającą z nieprawidłowej walidacji danych wejściowych w kontrolerze zliczania wiadomości EmailUIAjax. Podatność posiada ocenę krytyczną (CVSS 9.6) i umożliwia uwierzytelnionemu atakującemu zdalne naruszenie integralności oraz dostępności systemu.

Pokaż oryginał (EN)

SuiteCRM is an open-source Customer Relationship Management (CRM) software application. In versions prior to 7.14.4 and 8.6.1, poor input validation allows for SQL Injection in EmailUIAjax messages count controller. Versions 7.14.4 and 8.6.1 contain a fix for this issue.

🤖 Analiza AI
Jak działa

Atakujący posiadający konto w systemie może przesłać spreparowane dane wejściowe do kontrolera EmailUIAjax odpowiedzialnego za zliczanie wiadomości. Ze względu na brak odpowiedniej walidacji, dane te są przekazywane bezpośrednio do zapytań SQL, co umożliwia ich manipulację. Exploit nie wymaga interakcji po stronie ofiary ani szczególnych uprawnień poza podstawowym uwierzytelnieniem, a jego zasięg wykracza poza bezpośredni kontekst aplikacji (Scope: Changed).

Skutki

Atakujący może manipulować danymi w bazie danych (naruszenie integralności) oraz doprowadzić do niedostępności systemu lub jego danych (naruszenie dostępności). Podatność nie pozwala bezpośrednio na odczyt poufnych danych w modelu CVSS, jednak zapis i niszczenie danych stanowi poważne zagrożenie operacyjne.

Mitygacja

Należy zaktualizować SuiteCRM do wersji 7.14.4 lub 8.6.1, które zawierają poprawkę eliminującą opisaną podatność. Szczegóły dostępne w oficjalnym security advisory na GitHub Salesagility.

Kogo dotyczy

SuiteCRM w wersjach wcześniejszych niż 7.14.4 oraz wcześniejszych niż 8.6.1 (produkcja Salesagility).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
  • Salesagility Suitecrm

    APP
    Salesagility
    < 7.14.48.0.0 – 8.6.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2022-50589CRITICAL9.3PL ✓ten sam produkt

SQL Injection w SuiteCRM umożliwiające zdalne wykonanie kodu (RCE)

CVE-2024-36408CRITICAL9.6PL ✓ten sam produkt

SQL Injection w kontrolerze Alerts aplikacji SuiteCRM

CVE-2024-36411CRITICAL9.6PL ✓ten sam produkt

SQL Injection w SuiteCRM — kontroler EmailUIAjax displayView

CVE-2024-36409CRITICAL9.6PL ✓ten sam produkt

SQL Injection w SuiteCRM — punkt wejścia danych drzewa

CVE-2024-36412CRITICAL10.0PL ✓ten sam produkt

SQL injection w SuiteCRM poprzez punkt wejścia odpowiedzi na zdarzenia