CVE-2022-50590
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 - wyżej niż 28% wszystkich znanych CVE
Streszczenie
Podatność typu confusion w SuiteCRM przed wersją 7.12.6 występuje podczas przetwarzania parametru 'module' w funkcji 'deleteAttachment'. Zdalny, nieuwierzytelniony atakujący może zmieniać obiekty bazy danych, w tym adres e-mail administratora.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia konta administratora poprzez zmianę jego adresu e-mail, co może prowadzić do pełnej kompromitacji systemu CRM i wycieku danych wrażliwych.
Rekomendacja
Należy niezwłocznie zaktualizować SuiteCRM do wersji 7.12.6 lub nowszej, która zawiera poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
SuiteCRM versions prior to 7.12.6 contain a type confusion vulnerability within the processing of the ‘module’ parameter within the ‘deleteAttachment’ functionality. Successful exploitation allows remote unauthenticated attackers to alter database objects including changing the email address of the administrator.

