Vulnerabilidad en SuiteCRM (CVE-2026-29103)

SuiteCRM es una aplicación de software de gestión de relaciones con el cliente (CRM) de código abierto y lista para empresas. Una vulnerabilidad crítica de ejecución remota de código (RCE) existe en SuiteCRM 7.15.0 y 8.9.2, permitiendo a administradores autenticados ejecutar comandos de sistema arbitrarios. Esta vulnerabilidad es un bypass directo del parche de CVE-2024-49774. Aunque el proveedor intentó solucionar el problema en la versión 7.14.5, la falla subyacente en ModuleScanner.php con respecto al análisis de tokens de PHP persiste. El escáner restablece incorrectamente su estado interno (bandera $checkFunction) al encontrar cualquier token de un solo carácter (como =, ., o ;). Esto permite a los atacantes ocultar llamadas a funciones peligrosas (por ejemplo, system(), exec()) utilizando asignaciones de variables o concatenación de cadenas, evadiendo completamente los controles de seguridad de MLP. Las versiones 7.15.1 y 8.9.3 parchean el problema.