BDU:2025-13973

Опубликовано: 04 нояб. 2025

Источник: fstec

CVSS3: 8.3

CVSS2: 8.7

EPSS Низкий

Описание

Уязвимость системы управления взаимоотношениями с клиентами SuiteCRM связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Вендор

SalesAgility Limited

Наименование ПО

SuiteCRM

Версия ПО

до 8.9.1 (SuiteCRM)

до 7.14.8 (SuiteCRM)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,7)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/SuiteCRM/SuiteCRM-Core/commit/30277cfe69755f7360a23d4805e06a5c38f14131

https://github.com/SuiteCRM/SuiteCRM/commit/40da2845a170832a4e9e9fa0ebe731f8c34de42d

https://github.com/SuiteCRM/SuiteCRM-Core/releases/tag/v8.9.1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-64489
CVE

EPSS

Процентиль: 18%

0.00058

Низкий

8.3 High

CVSS3

8.7 High

CVSS2

Связанные уязвимости

CVE-2025-64489

CVSS3: 8.3

nvd

3 месяца назад

SuiteCRM is an open-source, enterprise-ready Customer Relationship Management (CRM) software application. Versions 7.14.7 and prior, 8.0.0-beta.1 through 8.9.0 contain a privilege escalation vulnerability where user sessions are not invalidated upon account deactivation. An inactive user with an active session can continue to access the application and, critically, can self-reactivate their account. This undermines administrative controls and allows unauthorized persistence. This issue is fixed in versions 7.14.8 and 8.9.1.

EPSS

Процентиль: 18%

0.00058

Низкий

8.3 High

CVSS3

8.7 High

CVSS2