Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-46816

Опубликовано: 27 окт. 2023
Источник: nvd
CVSS3: 8.8
EPSS Низкий

Описание

An issue was discovered in SugarCRM 12 before 12.0.4 and 13 before 13.0.2. A Server Site Template Injection (SSTI) vulnerability has been identified in the GecControl action. By using a crafted request, custom PHP code can be injected via the GetControl action because of missing input validation. An attacker with regular user privileges can exploit this.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:sugarcrm:sugarcrm:*:*:*:*:enterprise:*:*:*
Версия от 12.0.0 (включая) до 12.0.4 (исключая)
cpe:2.3:a:sugarcrm:sugarcrm:*:*:*:*:sell:*:*:*
Версия от 12.0.0 (включая) до 12.0.4 (исключая)
cpe:2.3:a:sugarcrm:sugarcrm:*:*:*:*:serve:*:*:*
Версия от 12.0.0 (включая) до 12.0.4 (исключая)
cpe:2.3:a:sugarcrm:sugarcrm:13.0.0:*:*:*:enterprise:*:*:*
cpe:2.3:a:sugarcrm:sugarcrm:13.0.0:*:*:*:sell:*:*:*
cpe:2.3:a:sugarcrm:sugarcrm:13.0.0:*:*:*:serve:*:*:*
cpe:2.3:a:sugarcrm:sugarcrm:13.0.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:sugarcrm:sugarcrm:13.0.1:*:*:*:sell:*:*:*
cpe:2.3:a:sugarcrm:sugarcrm:13.0.1:*:*:*:serve:*:*:*

EPSS

Процентиль: 45%
0.00224
Низкий

8.8 High

CVSS3

Дефекты

CWE-94

Связанные уязвимости

github логотип

GHSA-7qj5-3ww5-rm6r

CVSS3: 8.8
github
больше 2 лет назад

An issue was discovered in SugarCRM 12 before 12.0.4 and 13 before 13.0.2. A Server Site Template Injection (SSTI) vulnerability has been identified in the GecControl action. By using a crafted request, custom PHP code can be injected via the GetControl action because of missing input validation. An attacker with regular user privileges can exploit this.

EPSS

Процентиль: 45%
0.00224
Низкий

8.8 High

CVSS3

Дефекты

CWE-94