nvd,anchore_overrides
Suitecrm
Уязвимости
30
Эксплуатируемые
0
Критический
2
Высокий
16
Топ продуктов
Топ уязвимостей
CVE-2026-33289SuiteCRM - это программное обеспечение для управления взаимоотношениями с клиентами (CRM) с открытым исходным кодом и корпоративным кодом. До версий 7.15.1 и 8.9.3 в потоке аутентификации SuiteCRM существует уязвимость LDAP Injection. Приложение не может должным образом дезинфицировать пользовательский ввод, прежде чем встраивать его в поисковый фильтр LDAP. Путем инъекции контрольных символов LDAP, неаутентифицированный злоумышленник может манипулировать логикой запроса, что может привести к обходу аутентификации или раскрытию информации. Версии 7.15.1 и 8.9.3 исправляют выпуск.
CVE-2022-50589Версии SuiteCRM до 7.12.6 содержат уязвимость инъекций SQL в рамках обработки параметра «uid» в рамках функции «экспорта». Успешная эксплуатация позволяет удаленным неаутентифицированным злоумышленникам в конечном итоге выполнять произвольный код.
CVE-2026-33288SuiteCRM - это программное обеспечение для управления взаимоотношениями с клиентами (CRM) с открытым исходным кодом и корпоративным кодом. До версий 7.15.1 и 8.9.3 при включении поддержки каталога существует уязвимость SQL Injection. Приложение не может должным образом дезинфицировать имя пользователя, поставляемое пользователем, перед использованием его в локальном запросе базы данных. Злоумышленник с действительными учетными данными каталога с низкой привилегией может использовать это для выполнения произвольных команд SQL, что приводит к полной эскалации привилегий (например, вход в систему в качестве администратора CRM). Версии 7.15.1 и 8.9.3 исправляют выпуск.
CVE-2026-29102SuiteCRM - это программное обеспечение для управления взаимоотношениями с клиентами (CRM) с открытым исходным кодом и готовым к работе с открытым исходным кодом. До версий 7.15.1 и 8.9.3 в модулях SuiteCRM существует уязвимость с аутентифицированным пультом дистанционного управления кодом (RCE). Версии 7.15.1 и 8.9.3 исправляют проблему.
CVE-2026-29099SuiteCRM - это программное обеспечение для управления взаимоотношениями с клиентами (CRM) с открытым исходным кодом и готовое к работе с корпоративным кодом. До версий 7.15.1 и 8.9.3 функция "retrieve()` в "include/OutboundEmail/OutboundEmail.php` не позволяет должным образом нейтрализовать параметр "$id` пользователя". Предполагается, что функция, вызывающая `retrrieve()`, будет надлежащим образом цитировать и продезинфицировать пользовательский ввод. Однако были определены два места, которые могут быть достигнуты с помощью действия "EmailUIAx` модуля "Электронная почта" в том, что "Электронная почта" в этом случае не так. Таким образом, аутентифицированный пользователь может выполнять SQL-инъекцию через функцию «retrive()`. Это касается последних основных версий 7.15 и 8.9. Поскольку, по-видимому, нет ограничений на то, какие таблицы могут вызываться, злоумышленник мог бы получить произвольную информацию из базы данных, включая информацию о пользователях и хэши паролей. Версии 7.15.1 и 8.9.3 исправляют проблему.
CVE-2025-64489SuiteCRM - это программное обеспечение с открытым исходным кодом, готовое к работе с клиентами (CRM). Версии 7.14.7 и предыдущие, 8.0.0-beta.1 - 8.9.0 содержат уязвимость привилегии, когда сеансы пользователей не признаются недействительными при деактивации учетной записи. Неактивный пользователь с активным сеансом может продолжать получать доступ к приложению и, что критически важно, может самостоятельно реактивировать свою учетную запись. Это подрывает административный контроль и допускает несанкционированное сохранение. Эта проблема исправлена в версиях 7.14.8 и 8.9.1.
CVE-2025-54788SuiteCRM до версии 7.14.7 содержит уязвимость SQL-инъекции в модуле InboundEmail, позволяющую выполнить произвольные SQL-запросы в базе данных. Это может повлиять на конфиденциальность, целостность и доступность данных. Исправление доступно в версии 7.14.7. Подробности в уведомлении безопасности [1].
Источники:
- [1] https://github.com/SuiteCRM/SuiteCRM/security/advisories/GHSA-v3m9-8wg7-c72x
- [2] https://docs.suitecrm.com/admin/releases/7.14.x/#_7_14_7
CVE-2025-54785SuiteCRM - это открытая программная система управления взаимоотношениями с клиентами (CRM). В версиях 7.14.6 и 8.8.0 входные данные, предоставленные пользователем, не проверяются и не очищаются перед передачей в функцию unserialize, что может привести к выполнению произвольного кода, повышению привилегий, раскрытию конфиденциальной информации, отказу в обслуживании, использованию ресурсов для майнинга криптовалют и атакам ransomware. Проблема исправлена в версиях 7.14.7 и 8.8.1 [1].
Источники:
- [1] https://github.com/SuiteCRM/SuiteCRM/security/advisories/GHSA-53cp-mpfw-qj67
- [2] https://docs.suitecrm.com/admin/releases/7.14.x/#_7_14_7
CVE-2022-50590Версии SuiteCRM до 7.12.6 содержат уязвимость типа в обработке параметра «модуль» в рамках функции «deleteAttachment». Успешная эксплуатация позволяет удаленным неаутентифицированным злоумышленникам изменять объекты базы данных, включая изменение адреса электронной почты администратора.
CVE-2026-29109SuiteCRM - это программное обеспечение с открытым исходным кодом, готовое к работе с клиентами (CRM). Версии до 8.9.2 включительно содержат небезопасную уязвимость дезэриализации в компоненте обработки фильтров SavedSearch, которая позволяет аутентифицированному администратору выполнять произвольные системные команды на сервере. «FilterDefinitionProvider.php` вызывает «несериализацию()` данных, контролируемых пользователем, из колонки базы данных «saved_search.contents` без ограничения неизменных классов». Версия 8.9.3 латирует проблему.
CVE-2025-64488SuiteCRM - это программное обеспечение с открытым исходным кодом, готовое к работе с клиентами (CRM). В версиях 7.14.7 и ниже и 8.0.0-beta.1 - 8.9.0 8.0.0-beta.1 злоумышленник может создать вредоносный call_id, который изменяет логику SQL-запроса или вводит произвольный SQL. Атака может привести к несанкционированному доступу к данным и экс-фильтрации данных, полному компрометированию базы данных и другим различным вопросам. Эта проблема исправлена в версиях 7.14.8 и 8.9.1.
CVE-2025-54784В SuiteCRM существует уязвимость межсайтового скриптинга (XSS) в просмотрщике электронных писем в версиях от 7.14.0 до 7.14.6. Внешний злоумышленник может отправить подготовленное сообщение в почтовый ящик экземпляра SuiteCRM. Просто просматривая электронные письма как авторизованный пользователь, полезная нагрузка может быть запущена. Таким образом, злоумышленник может выполнять произвольные действия от имени авторизованного пользователя, такие как извлечение данных или, если полезная нагрузка выполняется администратором, захват управления экземпляром [1]. Исправлено в версии 7.14.7.
Источники:
- [1] https://github.com/SuiteCRM/SuiteCRM/security/advisories/GHSA-vg8q-xcq5-mh3p
- [2] https://docs.suitecrm.com/admin/releases/7.14.x/#_7_14_7
CVE-2025-64490SuiteCRM - это программное обеспечение с открытым исходным кодом, готовое к работе с клиентами (CRM). Версии 7.14.7 и предшествующие, 8.0.0-beta.1 - 8.9.0 позволяют низкопривилегированному пользователю с ограниченной ролью просматривать и создавать рабочие элементы через Ресурсный календарь и экраны проектов, даже если соответствующие модули (проекты, задачи проекта, задачи, зацепки, счета, встречи, звонки) явно настроены на отключение/нет в управлении ролями. Это указывает на непоследовательное применение ACL/RBAC между модулями и представлениями, что приводит к несанкционированному воздействию и модификации данных. Эта проблема исправлена в версиях 7.14.8 и 8.9.1.
CVE-2026-29189SuiteCRM - это программное обеспечение с открытым исходным кодом и готовым к работе с корпоративным персоналом (CRM). До версий 7.15.1 и 8.9.3 SuiteCRM REST API V8 пропускает проверки ACL (Access Control List) на нескольких конечных точках, что позволяет аутентифицированным пользователям получать доступ и манипулировать данными, с которыми они не должны иметь разрешения на взаимодействие. Версий 7.15.1 и 8.9.3 исправляют проблему.
CVE-2026-29101SuiteCRM - это программное обеспечение для управления взаимоотношениями с клиентами (CRM) с открытым исходным кодом и готовым к работе с открытым исходным кодом. До версий 7.15.1 и 8.9.3 в модулях SuiteCRM существует уязвимость отказа в служебном потребильнике (DoS). Версии 7.15.1 и 8.9.3 исправляют проблему.
CVE-2019-18785SuiteCRM 7.10.x до 7.10.21 и 7.11.x до 7.11.9 неправильно обрабатывает токены доступа к API и учетные данные.
CVE-2026-29103SuiteCRM - это программное обеспечение для управления взаимоотношениями с клиентами (CRM) с открытым исходным кодом и готовым к работе с открытым исходным кодом. В SuiteCRM 7.15.0 и 8.9.2 существует уязвимость Critical Remote Code Execution (RCE), что позволяет аутентифицированным администраторам выполнять произвольные системные команды. Эта уязвимость представляет собой прямое объездное патч CVE-2024-49774. Хотя поставщик попытался исправить проблему в версии 7.14.5, основной недостаток в ModuleScanner.php в отношении разбора токенов PHP остается. Сканер неправильно сбрасывает свое внутреннее состояние (флаг чек-функции) при столкновении с любым односхожковым токеном (например, =, ., или ;). Это позволяет злоумышленникам скрывать опасные функциональные вызовы (например, system(), exec()) с использованием переменных заданий или констатации строк, полностью уклоняясь от контроля безопасности MLP. Версии 7.15.1 и 8.9.3 исправляют проблему.
CVE-2026-29097SuiteCRM - это программное обеспечение с открытым исходным кодом, готовое к работе с клиентами (CRM). Версии до 7.15.1 и 8.9.3 содержат уязвимость Server-Side Request Forgery (SSRF) в сочетании с состоянием отказа в обслуживании (DoS) в компоненте RSS Feed Dashlet. Версии 7.15.1 и 8.9.3 исправляют выпуск.
CVE-2026-32697SuiteCRM - это программное обеспечение с открытым исходным кодом, готовое к работе с клиентами (CRM). Перед версиями 8.9.3 метод «RecordHandler::getRecord()` извлекает любую запись по модулю и идентификатору без проверки разрешения на просмотр ACL текущего пользователя. Компаньонный метод "saveRecord()` правильно проверяет `$bean->ACLAccess('save')`, но `getRecord()` пропускает эквивалентный `ACLAccess('view')` Версия 8.9.3 исправляет проблему.
CVE-2026-29108SuiteCRM - это программное обеспечение с открытым исходным кодом, готовое к работе с клиентами (CRM). До версий 8.9.3 аутентифицированная конечная точка API позволяет любому пользователю получать подробную информацию о любом другом пользователе, включая хэштег пароля, имя пользователя и конфигурацию MFA. Поскольку любой аутентифицированный пользователь может запросить эту конечную точку, можно извлечь и потенциально взломать пароли административных пользователей. Версия 8.9.3 латирует проблему.
CVE-2026-29096SuiteCRM - это программное обеспечение с открытым исходным кодом, готовое к работе с клиентами (CRM). До версий 7.15.1 и 8.9.3 при создании или редактировании отчета (модуль AOR_Reports) параметр `field_function` из данных POST сохраняется непосредственно в таблицу `aor_fields` без какой-либо проверки. Позже, когда отчет выполняется/просматривается, это значение включается непосредственно в запрос SQL SELECT без дезинфекции, что позволяет инъекции SQL второго порядка. Любой аутентифицированный пользователь с доступом к отчетам может извлечь произвольное содержимое базы данных (хэши паролей, токены API, значения конфигурирования). На MySQL с привилегией FILE это может привести к RCE через SELECT INTO OUTFILE. Версии 7.15.1 и 8.9.3 исправляют выпуск.
CVE-2026-29106SuiteCRM - это программное обеспечение с открытым исходным кодом, готовое к работе с клиентами (CRM). До версий 7.15.1 и 8.9.3 значение параметра запроса return_id копируется в значение атрибута HTML-тега, который является обработчиком событий и инкапсулируется в двойных кавычках. Версии 7.15.1 и 8.9.3 исправляют проблему. Пользователи также должны использовать заголовок Content Security Policy (CSP), чтобы полностью смягчить XSS.
CVE-2026-29105SuiteCRM - это программное обеспечение с открытым исходным кодом, готовое к работе с клиентами (CRM). До версий 7.15.1 и 8.9.3 SuiteCRM содержит неаутентифицированную уязвимость открытого перенаправления в функции захвата WebToLead. Поставляемый пользователями параметр POST используется в качестве места перенаправления без проверки, что позволяет злоумышленникам перенаправлять жертв на произвольные внешние веб-сайты. Эта уязвимость позволяет злоумышленникам злоупотреблять доверенным доменом SuiteCRM для фишинга и атак социальной инженерии, перенаправляя пользователей на вредоносные внешние веб-сайты. Версии 7.15.1 и 8.9.3 исправляют проблему.
CVE-2026-29100SuiteCRM - это программное обеспечение с открытым исходным кодом, готовое к работе с клиентами (CRM). SuiteCRM 7.15.0 содержит отраженную уязвимость HTML-инъекций на странице входа, которая позволяет злоумышленникам вводить произвольный HTML-контент, позволяя фишинговые атаки и повреждение страницы. Версия 7.15.1 исправляет проблему.
CVE-2025-64491SuiteCRM - это программное обеспечение с открытым исходным кодом, готовое к работе с клиентами (CRM). Версии 7.14.7 и ниже позволяют неаудовлетворительно отраженный межсайтовый сценарий (XSS). Успешная эксплуатация может привести к полному захвату учетной записи, например, путем изменения формы входа для отправки учетных данных на сервер, контролируемый злоумышленником. Как отраженная проблема XSS, эксплуатация требует, чтобы жертва открыла созданную вредоносную ссылку, которая может быть доставлена через фишинг, социальные сети или другие каналы связи. Эта проблема исправлена в версии 7.14.8.