PT-2026-57404 · Zoho · Catalyst Connect Zoho Crm Client Portal

Siyuan Shao

·

Publicado

2026-07-11

·

Atualizado

2026-07-11

·

CVE-2025-5017

CVSS v3.1

4.9

Média

VetorAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Catalyst Connect Zoho CRM Client Portal versões anteriores a 2.2.1
Descrição A escape insuficiente de parâmetros fornecidos pelo usuário e a falta de preparação em consultas SQL permitem que atacantes autenticados com nível de acesso de Administrador ou superior realizem SQL Injection baseada em tempo. Isso ocorre por meio do parâmetro uid, permitindo a execução de consultas SQL adicionais para extrair informações sensíveis do banco de dados.
Recomendações Atualize o Catalyst Connect Zoho CRM Client Portal para a versão 2.2.1 ou posterior. Como mitigação temporária, restrinja o acesso ao parâmetro uid até que a atualização seja aplicada.

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2025-5017

Produtos afetados

Catalyst Connect Zoho Crm Client Portal