CVE-2025-25034

Nome do Software Vulnerável e Versões Afetadas: Versões do SugarCRM anteriores a 6.5.24 Versões do SugarCRM anteriores a 6.7.13 Versões do SugarCRM anteriores a 7.5.2.5 Versões do SugarCRM anteriores a 7.6.2.2 Versões do SugarCRM anteriores a 7.7.1.0

Descrição: Existe um problema de injeção de objeto PHP devido à validação inadequada de entrada serializada PHP no script SugarRestSerialize.php. O código vulnerável falha ao sanitizar o parâmetro rest data antes de passá-lo para a função unserialize(). Isso permite que um atacante não autenticado envie dados serializados manipulados contendo declarações de objetos maliciosos, resultando em execução arbitrária de código dentro do contexto da aplicação. Uma correção anterior estava incompleta e falhou em abordar alguns vetores.

Recomendações: Para versões anteriores a 6.5.24, atualize para a versão 6.5.24 ou posterior. Para versões anteriores a 6.7.13, atualize para a versão 6.7.13 ou posterior. Para versões anteriores a 7.5.2.5, atualize para a versão 7.5.2.5 ou posterior. Para versões anteriores a 7.6.2.2, atualize para a versão 7.6.2.2 ou posterior. Para versões anteriores a 7.7.1.0, atualize para a versão 7.7.1.0 ou posterior. Como solução temporária, considere desativar a função unserialize() para o parâmetro rest data no script SugarRestSerialize.php até que um patch esteja disponível.