漏洞标题
N/A
漏洞描述信息
在 SugarCRM 企业版 11.0.6 之前和 12.x 版本 12.0.3 之前,发现了一个问题。在 REST API 中,已经识别了两个 SQL 注入路径。通过创建自定义的请求,由于缺少输入验证,可以从 REST API 中注入自定义 SQL 代码。常规用户权限可以用于漏洞利用。除了企业版之外,其他版本也受到影响。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
漏洞标题
N/A
漏洞描述信息
An issue was discovered in SugarCRM Enterprise before 11.0.6 and 12.x before 12.0.3. Two SQL Injection vectors have been identified in the REST API. By using crafted requests, custom SQL code can be injected through the REST API because of missing input validation. Regular user privileges can use used for exploitation. Editions other than Enterprise are also affected.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
SugarCRM Enterprise SQL注入漏洞
漏洞描述信息
SugarCRM Enterprise是美国SugarCRM公司的一套开源的客户关系管理系统(CRM)的企业版。该系统支持对不同的客户需求进行差异化营销、管理和分配销售线索,实现销售代表的信息共享和追踪。 SugarCRM Enterprise 11.0.6 之前版本、12.0.3 之前版本存在安全漏洞,该漏洞源于在 REST API 存在SQL 注入漏洞,攻击者利用该漏洞可以通过REST API 注入任意 SQL 代码。
CVSS信息
N/A
漏洞类别
SQL注入