SuiteCRM — это готовое к использованию на предприятии программное приложение для управления взаимоотношениями с клиентами (CRM) с открытым исходным кодом. До версий 8.9.3 метод RecordHandler::getRecord() извлекал любую запись по модулю и идентификатору без проверки разрешения на просмотр ACL текущего пользователя. Сопутствующий метод saveRecord() правильно проверяет `$bean->ACLAccess('save')`, но `getRecord()` пропускает эквивалентную проверку `ACLAccess('view')`.
Версия 8.9.3 исправляет проблему.
Показать оригинальное описание (EN)
SuiteCRM is an open-source, enterprise-ready Customer Relationship Management (CRM) software application. Prior to versions 8.9.3, the `RecordHandler::getRecord()` method retrieves any record by module and ID without checking the current user's ACL view permission. The companion `saveRecord()` method correctly checks `$bean->ACLAccess('save')`, but `getRecord()` skips the equivalent `ACLAccess('view')` check. Version 8.9.3 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Suitecrm Suitecrm
cpe:2.3:a:suitecrm:suitecrm:*:*:*:*:*:*:*:*
|
— |
8.9.3
|