SuiteCRM یک نرمافزار مدیریت ارتباط با مشتری برای سرورهای PHP میباشد.یک آسیبپذیری با شناسه CVE-2024-1644 و شدت بحرانی (9.9) برای این نرمافزار کشف شده است که local file inclusion (LFI) نام دارد و باعث میشود مهاجم با داشتن حداقل سطح دسترسی، توانایی اجرای کد از راه دور را روی رایانه قربانی داشته باشد. بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H) بهرهبرداری از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و به شرایط خاصی نیازنیست (AC: L)، مهاجم برای انجام حمله نیاز به حسابکاربری با سطح دسترسی پایین دارد (PR: L)، به تعامل با کاربر نیز نیاز نیست (UI:N)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر میگذارد (S: C) و با بهرهبرداری از این آسیبپذیری، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرد.
محصولات تحتتأثیر
این آسیبپذیری نسخه 7.14.2 نرمافزار SuiteCRM را تحتتأثیر قرار میدهد.
توصیههای امنیتی
تاکنون هیچ راهحلی برای رفع کامل این آسیبپذیری منتشر نشده است.
منبع خبر:
- 15