CVE-2024-49773

Nome do software vulnerável e versões afetadas:

Versões do SuiteCRM anteriores à 7.14.6

Versões do SuiteCRM anteriores à 8.7.1

Descrição:

O problema está relacionado à validação inadequada de entradas na funcionalidade de exportação, permitindo que um usuário autenticado execute um ataque de injeção de SQL. O parâmetro current post no ponto de entrada export pode ser explorado para realizar injeção de SQL cega por meio da função generateSearchWhere(), levando potencialmente à divulgação de informações, incluindo informações de identificação pessoal.

Recomendações:

Para versões anteriores à 7.14.6, atualize para a versão 7.14.6 ou posterior.

Para versões anteriores à 8.7.1, atualize para a versão 8.7.1 ou posterior.

Como solução alternativa temporária, considere restringir o acesso ao ponto de entrada export para minimizar o risco de exploração.

Evite usar o parâmetro current post no ponto de entrada export afetado até que o problema seja resolvido.