Vulnerabilidad en SugarCRM (CVE-2025-25034)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
20/06/2025
Última modificación:
20/11/2025
Descripción
Existe una vulnerabilidad de inyección de objetos PHP en versiones de SugarCRM anteriores a 6.5.24, 6.7.13, 7.5.2.5, 7.6.2.2 y 7.7.1.0 debido a una validación incorrecta de la entrada serializada de PHP en el script SugarRestSerialize.php. El código vulnerable no depura el parámetro rest_data antes de pasarlo a la función unserialize(). Esto permite que un atacante no autenticado envíe datos serializados manipulados que contienen declaraciones de objetos maliciosos, lo que provoca la ejecución de código arbitrario en el contexto de la aplicación. Aunque SugarCRM publicó una corrección previa en el aviso sugarcrm-sa-2016-001, el parche estaba incompleto y no solucionaba algunos vectores.
Impacto
Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://karmainsecurity.com/KIS-2016-07
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/webapp/sugarcrm_rest_unserialize_exec.rb
- https://vulncheck.com/advisories/sugarcrm-php-deserialization-rce
- https://web.archive.org/web/20160508053502/http://www.sugarcrm.com/security/sugarcrm-sa-2016-001
- https://web.archive.org/web/20160725194502/http://www.sugarcrm.com/security/sugarcrm-sa-2016-008
- https://www.exploit-db.com/exploits/40344
- https://www.sugarcrm.com/crm/