CVE-2024-50335

Nome do software vulnerável e versões afetadas:

Versões do SuiteCRM anteriores à 7.14.6

Versões do SuiteCRM anteriores à 8.7.1

Descrição:

O problema surge devido à validação e sanitização insuficientes das entradas no campo Publish Key dentro do aplicativo SuiteCRM, permitindo que um invasor injete código JavaScript malicioso. Isso pode ser explorado para roubar tokens CSRF e realizar ações não autorizadas, como a criação de novos usuários administrativos sem a devida autenticação. Quando um invasor injeta um script malicioso, ele é executado no contexto da sessão de um usuário autenticado. O script injetado então utiliza o token CSRF capturado para falsificar solicitações que criam novos usuários administrativos, comprometendo efetivamente a integridade e a segurança da instância do CRM.

Recomendações:

Para versões anteriores à 7.14.6, atualize para a versão 7.14.6 ou posterior.

Para versões anteriores à 8.7.1, atualize para a versão 8.7.1 ou posterior.

Como solução alternativa temporária, considere restringir o acesso ao campo Chave de Publicação na página Editar Perfil até que um patch esteja disponível.