Vulnerabilidad en SuiteCRM (CVE-2026-29098)

SuiteCRM es una aplicación de software de Gestión de Relaciones con Clientes (CRM) de código abierto y lista para empresas. Antes de las versiones 7.15.1 y 8.9.3, la función 'action_exportCustom' en 'modules/ModuleBuilder/controller.php' no logra neutralizar correctamente las secuencias de salto de ruta en los parámetros '$modules' y '$name'. Ambos parámetros luego alcanzan la función 'exportCustom' en 'modules/ModuleBuilder/MB/MBPackage.php' donde ambos son utilizados en la construcción de rutas para la lectura y escritura de archivos. Como tal, es posible que un usuario con acceso al módulo ModuleBuilder, generalmente un administrador, elabore una solicitud que pueda copiar el contenido de cualquier directorio legible en el host subyacente en la raíz web, haciéndolos legibles. Como el módulo 'ModuleBuilder' es parte de ambas versiones principales 7 y 8, ambas versiones principales actuales están afectadas. Esta vulnerabilidad permite a un atacante copiar cualquier directorio legible en la raíz web. Esto incluye archivos del sistema como el contenido de '/etc', o el directorio raíz del servidor web, exponiendo potencialmente secretos y variables de entorno. Las versiones 7.15.1 y 8.9.3 parchean el problema.