CVE-2024-49774

SuiteCRM is an open-source, enterprise-ready Customer Relationship Management (CRM) software application. SuiteCRM relies on the blacklist of functions/methods to prevent installation of malicious MLPs. But this checks can be bypassed with some syntax constructions. SuiteCRM uses token_get_all to parse PHP scripts and check the resulted AST against blacklists. But it doesn't take into account all scenarios. This issue has been addressed in versions 7.14.6 and 8.7.1. Users are advised to upgrade. There are no known workarounds for this vulnerability.
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:salesagility:suitecrm:*:*:*:*:*:*:*:*
cpe:2.3:a:salesagility:suitecrm:*:*:*:*:*:*:*:*

History

13 Nov 2024, 20:40

Type Values Removed Values Added
First Time Salesagility
Salesagility suitecrm
CPE cpe:2.3:a:salesagility:suitecrm:*:*:*:*:*:*:*:*
CWE NVD-CWE-noinfo
References () https://github.com/salesagility/SuiteCRM/security/advisories/GHSA-9v56-vhp4-x227 - () https://github.com/salesagility/SuiteCRM/security/advisories/GHSA-9v56-vhp4-x227 - Third Party Advisory

06 Nov 2024, 18:17

Type Values Removed Values Added
Summary
  • (es) SuiteCRM es una aplicación de software de gestión de relaciones con clientes (CRM) de código abierto y preparada para empresas. SuiteCRM se basa en la lista negra de funciones/métodos para evitar la instalación de MLP maliciosos. Pero estas comprobaciones se pueden omitir con algunas construcciones de sintaxis. SuiteCRM utiliza token_get_all para analizar scripts PHP y comprobar el AST resultante con listas negras. Pero no tiene en cuenta todos los escenarios. Este problema se ha solucionado en las versiones 7.14.6 y 8.7.1. Se recomienda a los usuarios que actualicen. No existen workarounds conocidas para esta vulnerabilidad.

05 Nov 2024, 19:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-11-05 19:15

Updated : 2024-11-13 20:40


NVD link : CVE-2024-49774

Mitre link : CVE-2024-49774

CVE.ORG link : CVE-2024-49774


JSON object : View

Products Affected

salesagility

  • suitecrm
CWE
NVD-CWE-noinfo CWE-20

Improper Input Validation