CVE-2026-29106 Suitecrm — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	6,1 (MEDIUM)
Уязвимые версии	8.0.0 — 8.9.3
Устранено в версии	7.15.1
Тип уязвимости	CWE-116 (Некорректное кодирование вывода), CWE-80 (Недостаточная фильтрация HTML-тегов (XSS)), CWE-159, CWE-79 (Межсайтовый скриптинг (XSS))
Поставщик	Suitecrm
Публичный эксплойт	Нет

SuiteCRM — это готовое к использованию на предприятии программное приложение для управления взаимоотношениями с клиентами (CRM) с открытым исходным кодом. До версий 7.15.1 и 8.9.3 значение параметра запроса return_id копируется в значение атрибута тега HTML, который является обработчиком событий и инкапсулируется в двойные кавычки. Версии 7.15.1 и 8.9.3 устраняют проблему.

Пользователям также следует использовать заголовок Content Security Policy (CSP) для полного устранения XSS.

Показать оригинальное описание (EN)

SuiteCRM is an open-source, enterprise-ready Customer Relationship Management (CRM) software application. Prior to versions 7.15.1 and 8.9.3, the value of the return_id request parameter is copied into the value of an HTML tag attribute which is an event handler and is encapsulated in double quotation marks. Versions 7.15.1 and 8.9.3 patch the issue. Users should also use a Content Security Policy (CSP) header to completely mitigate XSS.