CVE-2021-42840

Versões do SuiteCRM anteriores à 7.11.19

A vulnerabilidade permite a execução remota de código por meio da configuração “Nome do arquivo de log” nas configurações do sistema. Em determinadas circunstâncias envolvendo a apropriação de uma conta de administrador, a variável logger file name pode apontar para um arquivo PHP controlado pelo invasor na raiz do servidor web, pois apenas as extensões de arquivo PHP em letras minúsculas foram bloqueadas.

Para versões anteriores à 7.11.19, atualize para a versão 7.11.19 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à configuração “Log File Name” nas configurações do sistema para minimizar o risco de exploração. Evite usar a configuração logger file name de forma que permita a um invasor controlar o arquivo PHP na raiz da web até que o problema seja resolvido.