Katalog CVE

CVE-2022-50590

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 28 - wyżej niż 28% wszystkich znanych CVE

Streszczenie

Podatność typu confusion w SuiteCRM przed wersją 7.12.6 występuje podczas przetwarzania parametru 'module' w funkcji 'deleteAttachment'. Zdalny, nieuwierzytelniony atakujący może zmieniać obiekty bazy danych, w tym adres e-mail administratora.

Ocena ryzyka

Ryzyko polega na możliwości przejęcia konta administratora poprzez zmianę jego adresu e-mail, co może prowadzić do pełnej kompromitacji systemu CRM i wycieku danych wrażliwych.

Rekomendacja

Należy niezwłocznie zaktualizować SuiteCRM do wersji 7.12.6 lub nowszej, która zawiera poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

SuiteCRM versions prior to 7.12.6 contain a type confusion vulnerability within the processing of the ‘module’ parameter within the ‘deleteAttachment’ functionality. Successful exploitation allows remote unauthenticated attackers to alter database objects including changing the email address of the administrator.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS