Dzentota

**Nome do Software Vulnerável e Versões Afetadas** SuiteCRM versões 7.14.6 e 8.8.0 **Descrição** O SuiteCRM é uma aplicação de software de Gerenciamento de Relacionamento com o Cliente (CRM) de código aberto. Nas versões 7.14.6 e 8.8.0, a entrada fornecida pelo usuário não é validada ou sanitizada antes de ser passada para a função `unserialize()`. Isso pode levar a invasão, escalonamento de privilégios, exposição de dados sensíveis, Negação de Serviço, mineração de criptomoedas e ransomware. **Recomendações** Atualize para o SuiteCRM versão 7.14.7. Atualize para o SuiteCRM versão 8.8.1.

Nome do software vulnerável e versões afetadas: Versões do SuiteCRM anteriores à 7.14.6 Versões do SuiteCRM anteriores à 8.7.1 Descrição: O problema está relacionado à validação inadequada de entradas na funcionalidade de exportação, permitindo que um usuário autenticado execute um ataque de injeção de SQL. O parâmetro `current post` no ponto de entrada `export` pode ser explorado para realizar injeção de SQL cega por meio da função `generateSearchWhere()`, levando potencialmente à divulgação de informações, incluindo informações de identificação pessoal. Recomendações: Para versões anteriores à 7.14.6, atualize para a versão 7.14.6 ou posterior. Para versões anteriores à 8.7.1, atualize para a versão 8.7.1 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao ponto de entrada `export` para minimizar o risco de exploração. Evite usar o parâmetro `current post` no ponto de entrada `export` afetado até que o problema seja resolvido.

Nome do software vulnerável e versões afetadas: Versões do SuiteCRM anteriores à 7.14.6 Versões do SuiteCRM anteriores à 8.7.1 Descrição: O problema decorre da forma como o SuiteCRM verifica scripts PHP em relação a uma lista negra de funções e métodos para impedir a instalação de MLPs maliciosos. No entanto, essa verificação pode ser contornada usando determinadas construções sintáticas. O SuiteCRM usa a função `token get all` para analisar scripts PHP e verifica a Árvore de Sintaxe Abstrata (AST) resultante em relação às listas negras, mas não leva em conta todos os cenários possíveis. Recomendações: Para versões anteriores à 7.14.6, atualize para a versão 7.14.6 ou posterior. Para versões anteriores à 8.7.1, atualize para a versão 8.7.1 ou posterior.

Nome do software vulnerável e versões afetadas: Versões do SuiteCRM anteriores à 7.14.6 Versões do SuiteCRM anteriores à 8.7.1 Descrição: O problema decorre da falta de validação das entradas do usuário, que são então gravadas no sistema de arquivos. A função `ParserLabel::addLabels()` pode ser explorada para gravar dados controlados pelo invasor em arquivos de idioma personalizados que são incluídos em tempo de execução. Recomendações: Para versões anteriores à 7.14.6, atualize para a versão 7.14.6 ou posterior. Para versões anteriores à 8.7.1, atualize para a versão 8.7.1 ou posterior. Como solução alternativa temporária, considere restringir o acesso à função `ParserLabel::addLabels()` até que um patch esteja disponível.