SuiteCRM — это готовое к использованию на предприятии программное приложение для управления взаимоотношениями с клиентами (CRM) с открытым исходным кодом. До версий 7.15.1 и 8.9.3 SuiteCRM содержал уязвимость открытого перенаправления без аутентификации в функции захвата WebToLead. Предоставленный пользователем параметр POST используется в качестве места назначения перенаправления без проверки, что позволяет злоумышленникам перенаправлять жертв на произвольные внешние веб-сайты.
Эта уязвимость позволяет злоумышленникам использовать доверенный домен SuiteCRM для фишинга и атак социальной инженерии, перенаправляя пользователей на вредоносные внешние веб-сайты. Версии 7.15.1 и 8.9.3 устраняют проблему.
Показать оригинальное описание (EN)
SuiteCRM is an open-source, enterprise-ready Customer Relationship Management (CRM) software application. Prior to versions 7.15.1 and 8.9.3, SuiteCRM contains an unauthenticated open redirect vulnerability in the WebToLead capture functionality. A user-supplied POST parameter is used as a redirect destination without validation, allowing attackers to redirect victims to arbitrary external websites. This vulnerability allows attackers to abuse the trusted SuiteCRM domain for phishing and social engineering attacks by redirecting users to malicious external websites. Versions 7.15.1 and 8.9.3 patch the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Suitecrm Suitecrm
cpe:2.3:a:suitecrm:suitecrm:*:*:*:*:*:*:*:*
|
— |
7.15.1
|
|
Suitecrm Suitecrm
cpe:2.3:a:suitecrm:suitecrm:*:*:*:*:*:*:*:*
|
8.0.0
|
8.9.3
|