CVE-2024-50333

SuiteCRM is an open-source, enterprise-ready Customer Relationship Management (CRM) software application. User input is not validated and is written to the filesystem. The ParserLabel::addLabels() function can be used to write attacker-controlled data into the custom language file that will be included at the runtime. This issue has been addressed in versions 7.14.6 and 8.7.1. Users are advised to upgrade. There are no known workarounds for this vulnerability.
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:salesagility:suitecrm:*:*:*:*:*:*:*:*
cpe:2.3:a:salesagility:suitecrm:*:*:*:*:*:*:*:*

History

13 Nov 2024, 20:10

Type Values Removed Values Added
CPE cpe:2.3:a:salesagility:suitecrm:*:*:*:*:*:*:*:*
CWE NVD-CWE-noinfo
First Time Salesagility
Salesagility suitecrm
References () https://github.com/salesagility/SuiteCRM/security/advisories/GHSA-qrv6-3q86-qv89 - () https://github.com/salesagility/SuiteCRM/security/advisories/GHSA-qrv6-3q86-qv89 - Third Party Advisory
CVSS v2 : unknown
v3 : 6.6
v2 : unknown
v3 : 8.8

06 Nov 2024, 18:17

Type Values Removed Values Added
Summary
  • (es) SuiteCRM es una aplicación de software de gestión de relaciones con los clientes (CRM) de código abierto y preparada para empresas. La entrada del usuario no se valida y se escribe en el sistema de archivos. La función ParserLabel::addLabels() se puede utilizar para escribir datos controlados por el atacante en el archivo de idioma personalizado que se incluirá en el entorno de ejecución. Este problema se ha solucionado en las versiones 7.14.6 y 8.7.1. Se recomienda a los usuarios que actualicen la versión. No se conocen workarounds para esta vulnerabilidad.

05 Nov 2024, 19:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-11-05 19:15

Updated : 2024-11-13 20:10


NVD link : CVE-2024-50333

Mitre link : CVE-2024-50333

CVE.ORG link : CVE-2024-50333


JSON object : View

Products Affected

salesagility

  • suitecrm
CWE
NVD-CWE-noinfo CWE-20

Improper Input Validation