Sicherheitslücken: Angreifer können Schadcode in SugarCRM hochladen
Die Managementlösung für Kundendaten SugarCRM ist verwundbar. Gegen mögliche Attacken gerüstete Versionen schaffen Abhilfe.
Aufgrund von unzureichenden Überprüfungen können Angreifer das Customer-Relationship-Management-System SugarCRM attackieren. Der Hersteller hat Sicherheitspatches veröffentlicht.
Die Sicherheitslücken
In zwei Fällen kann Schadcode auf Systemen landen. CVE-Nummern für die Lücken wurden bislang nicht vergeben. In den Sicherheitswarnungen stufen die Entwickler die Risikostufe als „hoch“ ein. Weil das Notes-Modul Nutzereingaben nicht ausreichend prüft, könne Angreifer mit einer speziellen Anfrage eigenen PHP-Code hochladen.
Im zweiten Fall findet sich die Schwachstelle in der GecControl Aktion des Import-Moduls. An dieser Stelle werden Nutzereingaben über den field_name
-Parameter unzureichend bereinigt, sodass über eine Path-Traversal-Attacke Schadcode auf Systeme gelangen kann. Für beide Attacken sollen die Rechte von regulären Nutzern ausreichen.
Updates
Die Entwickler geben an, die Sicherheitsprobleme in den Versionen SugarCRM 12.0 (Enterprise, Sell, Serve) 12.0.4 und SugarCRM 13.0 (Enterprise, Sell, Serve) 13.0.2 gelöst zu haben. Cloud-Kunden sollen die Updates automatisch erhalten.
(des)