Vulnerabilidad en SuiteCRM (CVE-2024-49773)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
05/11/2024
Última modificación:
13/11/2024
Descripción
SuiteCRM es una aplicación de software de gestión de relaciones con clientes (CRM) de código abierto y preparada para empresas. La validación deficiente de la entrada en la exportación permite que un usuario autenticado realice un ataque de inyección SQL. La entrada controlada por el usuario se utiliza para crear una consulta SQL. El parámetro `current_post` en el punto de entrada `export` se puede utilizar de forma indebida para realizar una inyección SQL ciega mediante generateSearchWhere(). Permite la divulgación de información, incluida la información de identificación personal. Este problema se ha solucionado en las versiones 7.14.6 y 8.7.1. Se recomienda a los usuarios que actualicen. No existen workarounds conocidos para esta vulnerabilidad.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:salesagility:suitecrm:*:*:*:*:*:*:*:* | 7.14.6 (excluyendo) | |
cpe:2.3:a:salesagility:suitecrm:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.7.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página