PT-2026-57580 · Metacrm · Metacrm

Bigbrother_Man

·

Publicado

2026-07-12

·

Atualizado

2026-07-13

·

CVE-2026-15514

CVSS v2.0

7.5

Alta

VetorAV:N/AC:L/Au:N/C:P/I:P/A:P
Nome do Software Vulnerável e Versões Afetadas MetaCRM versões anteriores a 6.4.0 Beta06
Descrição Um problema existe no componente PHPRPC Remote Call Interface dentro do arquivo /customizemt/xkq/rpc.jsp. Um invasor remoto pode realizar uma injeção de SQL ao manipular o argumento phprpc args passado para a função RPCService.query(). SQL injection é uma técnica onde instruções SQL maliciosas são inseridas em campos de entrada para execução, permitindo potencialmente o acesso não autorizado ao banco de dados.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida de mitigação temporária, restrinja o acesso à função RPCService.query() ou ao arquivo /customizemt/xkq/rpc.jsp.

Exploit

Special Elements Injection

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-15514

Produtos afetados

Metacrm