Neue SugarCRM-Versionen schließen kritische Lücken

Das Enterprise-System SugarCRM zum Customer Relation Management, weist über achtzehn Schwachstellen auf, die mit neuen Versionen beseitigt werden. Der Hersteller beteuert zwar, dass keine der Lücken bisher aktiv ausgenutzt würde, empfiehlt aber allen Kunden ein zügiges Update. In der Liste der Schwachstellen finden sich unter anderem welche zum Einschleusen und Ausführen von Code (RCE), Stored XSS und SQL Injection.

Einige der Sicherheistlücken stuft der Hersteller selbst als kritisch ein; CVSS-Einstufungen oder CVE-Referenzen liefert er jedoch nicht. In den aktualisierten Versionen 12.0.5 und 13.0.3 seien die alle beseitigt. Kunden der bei SugarCRM gehosteten SaaS-Lösung müssten nichts unternehmen, da diese bereits aktualisiert wurden, heißt es in der Zusammenfassung des Herstellers: [Action Required] Security Release for 12.x and 13.x.

(ju)