开源客户关系管理(CRM)平台 SuiteCRM 的维护团队已发布紧急安全更新,修复两个严重的 SQL 注入漏洞,这些漏洞可能允许已认证用户从后端数据库提取敏感数据。
这两个漏洞编号为 CVE-2025-64492 和 CVE-2025-64493,影响 SuiteCRM 8.9.0 及更早版本,并已在 8.9.1 版本中修复。
第一个漏洞 CVE-2025-64492 的 CVSS 评分为 8.8(高严重性),是一个基于时间的盲注漏洞。已认证用户可利用该漏洞,通过测量响应延迟间接获取数据库内容。
公告指出,成功利用此漏洞可使威胁行为者:
- 枚举数据库、表及列名;
- 提取敏感数据,包括哈希密码、客户详情和其他业务关键信息;
- 在特定配置下可能提升权限甚至实现远程代码执行——尽管“仅通过盲注实现此点较为罕见”。
“该漏洞允许已认证攻击者通过测量响应时间推断数据库数据……可能导致敏感信息泄露。”SuiteCRM 安全团队表示。
由于漏洞利用需先通过身份验证,攻击最可能来自已泄露的账户或恶意内部人员(他们已能访问 CRM 控制台)。
第二个漏洞 CVE-2025-64493 影响 SuiteCRM 的 GraphQL API,CVSS 评分为 6.5(中严重性)。该漏洞存在于 GraphQL 端点的 appMetadata 操作中,在与数据库交互前未对用户输入进行充分 sanitize。
公告确认:“GraphQL API 的 appMetadata 操作中存在已认证的基于时间的盲注漏洞。”
与前一个漏洞不同,此漏洞影响 8.6.0 至 8.8.0 版本,且无需管理员权限,这显著扩大了潜在攻击面。
这意味着任何已登录用户(即使权限有限)都可能利用该漏洞窃取敏感客户信息或企业数据。
SuiteCRM 被广泛应用于企业和公共部门组织,用于管理客户关系、销售管道和营销数据。此类系统中的 SQL 注入攻击可能导致机密 CRM 数据、销售记录以及客户和员工个人信息泄露。
两个漏洞均已在 SuiteCRM 8.9.1 版本中修复,维护团队建议所有用户立即升级。
发表评论
您还未登录,请先登录。
登录