PT-2022-16354 · Suitecrm · Suitecrm
Manuelz120
·
Publicado
2022-03-07
·
Atualizado
2024-03-06
·
CVE-2022-23940
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do SuiteCRM anteriores à 7.12.2 e à 8.0.2
Descrição
A vulnerabilidade permite a execução remota de código. Usuários autenticados com acesso ao módulo Scheduled Reports podem explorar essa vulnerabilidade aproveitando a deserialização de PHP na propriedade
email recipients. Eles podem criar um relatório malicioso contendo uma carga útil de deserialização de PHP no campo email recipients. Assim que alguém acessar esse relatório, o backend deserializará o conteúdo do campo email recipients e a carga será executada. As dependências do projeto incluem gadgets de deserialização PHP que podem ser usados para a execução de código.Recomendações
Para versões do SuiteCRM anteriores à 7.12.2, atualize para a versão 7.12.2 ou posterior para resolver o problema.
Para a versão 8.0.1 do SuiteCRM, atualize para a versão 8.0.2 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao módulo Relatórios Programados até que um patch esteja disponível.
Evite usar o campo
email recipients no módulo Relatórios Programados até que o problema seja resolvido.Exploit
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Suitecrm