Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en SuiteCRM (CVE-2024-49773)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
05/11/2024
Última modificación:
13/11/2024

Descripción

SuiteCRM es una aplicación de software de gestión de relaciones con clientes (CRM) de código abierto y preparada para empresas. La validación deficiente de la entrada en la exportación permite que un usuario autenticado realice un ataque de inyección SQL. La entrada controlada por el usuario se utiliza para crear una consulta SQL. El parámetro `current_post` en el punto de entrada `export` se puede utilizar de forma indebida para realizar una inyección SQL ciega mediante generateSearchWhere(). Permite la divulgación de información, incluida la información de identificación personal. Este problema se ha solucionado en las versiones 7.14.6 y 8.7.1. Se recomienda a los usuarios que actualicen. No existen workarounds conocidos para esta vulnerabilidad.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:salesagility:suitecrm:*:*:*:*:*:*:*:* 7.14.6 (excluyendo)
cpe:2.3:a:salesagility:suitecrm:*:*:*:*:*:*:*:* 8.0.0 (incluyendo) 8.7.1 (excluyendo)