SuiteCRM — это готовое к использованию на предприятии программное приложение для управления взаимоотношениями с клиентами (CRM) с открытым исходным кодом. До версий 7.15.1 и 8.9.3 при создании или редактировании отчета (модуль AOR_Reports) параметр field_function из данных POST сохраняется непосредственно в таблицу aor_fields без какой-либо проверки. Позже, когда отчет выполняется/просматривается, это значение объединяется непосредственно в запрос SQL SELECT без очистки, что позволяет внедрить SQL второго порядка.
Любой авторизованный пользователь с доступом к отчетам может извлекать произвольное содержимое базы данных (хеши паролей, токены API, значения конфигурации). В MySQL с привилегией FILE это может привести к RCE через SELECT INTO OUTFILE. Версии 7.15.1 и 8.9.3 устраняют проблему.
Показать оригинальное описание (EN)
SuiteCRM is an open-source, enterprise-ready Customer Relationship Management (CRM) software application. Prior to versions 7.15.1 and 8.9.3, when creating or editing a report (AOR_Reports module), the `field_function` parameter from POST data is saved directly into the `aor_fields` table without any validation. Later, when the report is executed/viewed, this value is concatenated directly into a SQL SELECT query without sanitization, enabling second-order SQL injection. Any authenticated user with Reports access can extract arbitrary database contents (password hashes, API tokens, config values). On MySQL with FILE privilege, this could lead to RCE via SELECT INTO OUTFILE. Versions 7.15.1 and 8.9.3 patch the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1