CVE-2023-22952
CVE-2023-22952
En resumen
Las versiones de SugarCRM anteriores a 12.0 Hotfix 91155 permiten a atacantes inyectar y ejecutar código PHP malicioso a través de plantillas de correo electrónico debido a la falta de validación de entrada. Esto puede resultar en el compromiso completo del sistema y acceso no autorizado a datos sensibles.
Detalle técnico
Un atacante remoto puede explotar CWE-94 (Control Inadecuado de Generación de Código) mediante solicitudes especialmente diseñadas que inyectan código PHP arbitrario en EmailTemplates sin validación de entrada adecuada. La vulnerabilidad permite la ejecución de código en el contexto de la aplicación, potencialmente conduciendo al compromiso total del servidor y filtración de datos.
Resumen generado y traducido por IA a partir de la descripción oficial.
In SugarCRM before 12.0. Hotfix 91155, a crafted request can inject custom PHP code through the EmailTemplates because of missing input validation.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/aPoCs públicas encontradas — 1
cve_referencepacketstormsecurity.com/files/171320/SugarCRM-12.x-Remote-Code-Execution-Shell-Upload.htmlno verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →