PT-2026-57404 · Zoho · Catalyst Connect Zoho Crm Client Portal
Siyuan Shao
·
Publicado
2026-07-11
·
Atualizado
2026-07-11
·
CVE-2025-5017
CVSS v3.1
4.9
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Catalyst Connect Zoho CRM Client Portal versões anteriores a 2.2.1
Descrição
A escape insuficiente de parâmetros fornecidos pelo usuário e a falta de preparação em consultas SQL permitem que atacantes autenticados com nível de acesso de Administrador ou superior realizem SQL Injection baseada em tempo. Isso ocorre por meio do parâmetro
uid, permitindo a execução de consultas SQL adicionais para extrair informações sensíveis do banco de dados.Recomendações
Atualize o Catalyst Connect Zoho CRM Client Portal para a versão 2.2.1 ou posterior.
Como mitigação temporária, restrinja o acesso ao parâmetro
uid até que a atualização seja aplicada.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Catalyst Connect Zoho Crm Client Portal