Se han reportado múltiples vulnerabilidades que afectan a SuiteCRM, que permitirán a un atacante obtener información confidencial para obtener acceso no autorizado y manipular datos.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta” y 1 (una) de severidad “Media”. Las mismas se detallan a continuación:
- CVE-2023-5353 de severidad “Alta”, con puntuación asignada de “8.1”. Esta vulnerabilidad podría retornar incorrectamente datos de carácter confidencial como hash de contraseñas de usuarios para llevar a cabo un descifrado offline en un intento de obtener las contraseñas de los usuarios y utilizarlas para un inicio de sesión en la aplicación como ese usuario si no cuenta con autenticación multifactor activada.
- CVE-2023-5351 de severidad “Alta”, con puntuación asignada de “8.9”. Esta vulnerabilidad del tipo XSS podría permitir a usuarios autenticados inyectar código malicioso HTML o javascript, para recuperar cookies de sesión y obtener acceso no autorizado a la aplicación.
- CVE-2023-5350 de severidad “Media”, con puntuación asignada de “6.4”. Esta vulnerabilidad del tipo inyección SQL podría permitir a usuarios inyectar sentencia SQL que permita leer y manipular datos por una incorrecta sanitización y validación del “duplicate_parent_id”.
Las versiones afectadas son:
- Versiones anteriores a 7.14.1
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias:
- https://nvd.nist.gov/vuln/detail/CVE-2023-5353
- https://nvd.nist.gov/vuln/detail/CVE-2023-5350
- https://nvd.nist.gov/vuln/detail/CVE-2023-5351
- https://github.com/salesagility/SuiteCRM/releases/tag/v7.14.1