CRITICAL🇬🇧 English

CVE-2024-36411

SQL Injection w SuiteCRM — kontroler EmailUIAjax displayView

CVSS 9.6v3.1pub. 2024-06-10upd. 2024-11-21

Podatność SQL Injection w aplikacji SuiteCRM wynika z nieprawidłowej walidacji danych wejściowych w kontrolerze EmailUIAjax displayView. Ze względu na wysoki wynik CVSS (9.6) i zmieniony zakres (Scope: Changed), zagrożenie może wykraczać poza bezpośrednio atakowany komponent.

Pokaż oryginał (EN)

SuiteCRM is an open-source Customer Relationship Management (CRM) software application. In versions prior to 7.14.4 and 8.6.1, poor input validation allows for SQL Injection in EmailUIAjax displayView controller. Versions 7.14.4 and 8.6.1 contain a fix for this issue.

🤖 Analiza AI
Jak działa

Atakujący uwierzytelniony w aplikacji może przesyłać złośliwie spreparowane dane wejściowe do kontrolera EmailUIAjax displayView, które nie są odpowiednio walidowane ani sanityzowane. Pozwala to na wstrzyknięcie dowolnych zapytań SQL do bazy danych obsługującej aplikację SuiteCRM. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika ani wysokich uprawnień.

Skutki

Atakujący może manipulować danymi w bazie danych oraz niszczyć lub modyfikować jej zawartość, co odpowiada wysokiemu wpływowi na integralność i dostępność systemu (I:H, A:H). Exploit może prowadzić do nieuprawnionej modyfikacji lub usunięcia danych CRM oraz zakłócenia działania aplikacji.

Mitygacja

Należy zaktualizować SuiteCRM do wersji 7.14.4 lub nowszej (dla gałęzi 7.x) albo do wersji 8.6.1 lub nowszej (dla gałęzi 8.x), które zawierają poprawkę dla tego błędu. Szczegóły dostępne w repozytorium producenta na GitHub.

Kogo dotyczy

SuiteCRM w wersjach wcześniejszych niż 7.14.4 oraz wcześniejszych niż 8.6.1 (produkt firmy Salesagility)

Uwagi

Poprawka dostępna w wersjach 7.14.4 i 8.6.1, opublikowanych przez producenta Salesagility. Szczegółowe informacje dostępne pod adresem: https://github.com/salesagility/SuiteCRM/security/advisories/GHSA-9rvr-mcrf-p4p7

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
  • Salesagility Suitecrm

    APP
    Salesagility
    < 7.14.48.0.0 – 8.6.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2022-50589CRITICAL9.3PL ✓ten sam produkt

SQL Injection w SuiteCRM umożliwiające zdalne wykonanie kodu (RCE)

CVE-2024-36408CRITICAL9.6PL ✓ten sam produkt

SQL Injection w kontrolerze Alerts aplikacji SuiteCRM

CVE-2024-36410CRITICAL9.6PL ✓ten sam produkt

SQL Injection w SuiteCRM — kontroler EmailUIAjax messages count

CVE-2024-36409CRITICAL9.6PL ✓ten sam produkt

SQL Injection w SuiteCRM — punkt wejścia danych drzewa

CVE-2024-36412CRITICAL10.0PL ✓ten sam produkt

SQL injection w SuiteCRM poprzez punkt wejścia odpowiedzi na zdarzenia