M. Cory Billington

**Nome do software vulnerável e versões afetadas** Versões do SuiteCRM anteriores à 7.11.19 **Descrição** A vulnerabilidade permite a execução remota de código por meio da configuração “Nome do arquivo de log” nas configurações do sistema. Em determinadas circunstâncias envolvendo a apropriação de uma conta de administrador, a variável `logger file name` pode apontar para um arquivo PHP controlado pelo invasor na raiz do servidor web, pois apenas as extensões de arquivo PHP em letras minúsculas foram bloqueadas. **Recomendações** Para versões anteriores à 7.11.19, atualize para a versão 7.11.19 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à configuração “Log File Name” nas configurações do sistema para minimizar o risco de exploração. Evite usar a configuração `logger file name` de forma que permita a um invasor controlar o arquivo PHP na raiz da web até que o problema seja resolvido.