Уязвимость BDU:2024-03891

Идентификатор: BDU:2024-03891.
Наименование уязвимости: Уязвимость системы управления взаимоотношениями с клиентами SuiteCRM, связанная с отсутствием ограничений на загрузку файлов, позволяющая нарушителю запускать или открывать файлы на веб-сервере, не имея к ним прав доступа.
Описание уязвимости: Уязвимость системы управления взаимоотношениями с клиентами SuiteCRM связана с отсутствием ограничений на загрузку файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, запускать или открывать файлы на веб-сервере, не имея к ним прав доступа
Уязвимое ПО: Прикладное ПО информационных систем SalesAgility Limited SuiteCRM 7.14.2 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 05.01.2024.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)
Возможные меры по устранению:
Компенсирующие меры:
— использование межсетевого экрана уровня приложений (WAF) для фильтрации пользовательского ввода;
— использование средств антивирусной защиты для проверки загружаемых/запускаемых файлов;
— использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2024-1644.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://fluidattacks.com/advisories/silva/
https://github.com/salesagility/SuiteCRM/
https://vuldb.com/ru/?id.254135



