概述
CVE-2022-50589是SuiteCRM 7.12.6之前版本中存在的一个SQL注入漏洞,该漏洞位于export功能对uid参数的处理过程中。
漏洞描述
SuiteCRM 7.12.6之前版本在处理export功能中的uid参数时存在SQL注入漏洞。成功利用此漏洞的远程未授权攻击者最终能够执行任意代码。
受影响产品
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Salesagility | suitecrm |
受影响供应商总数:1 | 产品数:1
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.3 | CVSS 4.0 | 严重 | 83251b91-4cc7-4094-a5c7-464a1b83ea10 | |||
| 9.3 | CVSS 4.0 | 严重 | disclosure@vulncheck.com |
解决方案
- 将SuiteCRM升级到7.12.6或更高版本以修复SQL注入漏洞
- 验证升级是否成功
- 应用任何额外的安全补丁
参考链接
- https://blog.exodusintel.com/2022/06/09/salesagility-suitecrm-export-request-sql-injection-vulnerability/
- https://docs.suitecrm.com/admin/releases/7.12.x/#_7_12_6
- https://www.vulncheck.com/advisories/suitecrm-sqli-via-export-functionality
CWE关联
CWE-89: SQL命令中使用的特殊元素中和不当(SQL注入)
CAPEC攻击模式
- CAPEC-7: 盲SQL注入
- CAPEC-66: SQL注入
- CAPEC-108: 通过SQL注入执行命令行
- CAPEC-109: 对象关系映射注入
- CAPEC-110: 通过SOAP参数篡改进行SQL注入
- CAPEC-470: 从数据库扩展对操作系统的控制
漏洞时间线
- 2025年11月6日:收到来自disclosure@vulncheck.com的新CVE报告
漏洞评分详情
CVSS 4.0
基础CVSS分数:9.3
攻击向量:网络 攻击复杂度:低 攻击要求:无 所需权限:无 用户交互:无 保密性影响:高 完整性影响:高 可用性影响:高