CVE-2023-22952
CVE-2023-22952
Em resumo
Versões do SugarCRM anteriores à 12.0 Hotfix 91155 permitem que atacantes injetem e executem código PHP malicioso através de templates de email devido à falta de validação de entrada. Isso pode resultar em comprometimento completo do sistema e acesso não autorizado a dados sensíveis.
Detalhe técnico
Um atacante remoto pode explorar CWE-94 (Controle Impróprio de Geração de Código) criando requisições que injetam código PHP arbitrário em EmailTemplates sem validação de entrada adequada. A vulnerabilidade permite execução de código no contexto da aplicação, potencialmente levando a comprometimento total do servidor e vazamento de dados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
In SugarCRM before 12.0. Hotfix 91155, a crafted request can inject custom PHP code through the EmailTemplates because of missing input validation.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 1
cve_referencepacketstormsecurity.com/files/171320/SugarCRM-12.x-Remote-Code-Execution-Shell-Upload.htmlnão verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →