BDU:2025-13976

Опубликовано: 04 нояб. 2025

Источник: fstec

CVSS3: 8.1

CVSS2: 8.5

EPSS Низкий

Описание

Уязвимость системы управления взаимоотношениями с клиентами SuiteCRM связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

SalesAgility Limited

Наименование ПО

SuiteCRM

Версия ПО

до 8.9.1 (SuiteCRM)

до 7.14.8 (SuiteCRM)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,1)

Высокий уровень опасности (оценка CVSS 4.0 составляет 8,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/SuiteCRM/SuiteCRM/commit/40da2845a170832a4e9e9fa0ebe731f8c34de42d

https://github.com/SuiteCRM/SuiteCRM-Core/commit/30277cfe69755f7360a23d4805e06a5c38f14131

https://github.com/SuiteCRM/SuiteCRM-Core/releases/tag/v8.9.1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-64488
CVE

EPSS

Процентиль: 21%

0.00069

Низкий

8.1 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

CVE-2025-64488

CVSS3: 8.8

nvd

3 месяца назад

SuiteCRM is an open-source, enterprise-ready Customer Relationship Management (CRM) software application. In versions 7.14.7 and below and 8.0.0-beta.1 through 8.9.0 8.0.0-beta.1, an attacker can craft a malicious call_id that alters the logic of the SQL query or injects arbitrary SQL. An attack can lead to unauthorized data access and data ex-filtration, complete database compromise, and other various issues. This issue is fixed in versions 7.14.8 and 8.9.1.