首頁 > 安全研究 > 安全通報 > 安全通告

SuiteCRM多個SQL注入漏洞安全通告

發布時間 2019-08-23

漏洞編號和級別


CVE編號:CVE-2019-12598,危險級別:嚴重,CVSS分值:9.8

CVE編號:CVE-2019-12599,危險級別:嚴重,CVSS分值:9.8

CVE編號:CVE-2019-12600,危險級別:嚴重,CVSS分值:9.8

CVE編號:CVE-2019-12601,危險級別:嚴重,CVSS分值:9.8


影響版本


受影響的版本


SalesAgility SuiteCRM 7.8.30之前的7.8.x版本、7.10.17之前的7.10.x版本和7.11.5之前的7.11.x版本


漏洞概述


SalesAgility SuiteCRM是一套企業級開源客戶關系管理(CRM)。

SalesAgility SuiteCRM存在多個SQL注入漏洞。漏洞源于基于數據庫的應用缺少對外部輸入SQL語句的驗證。攻擊者可利用該漏洞執行非法SQL命令。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://docs.suitecrm.com/admin/releases/7.11.x/#_7_11_5 。


參考鏈接


https://blog.ripstech.com/2019/breaking-into-your-internal-network/

上一篇 下一篇