漏洞概述

SuiteCRM维护团队发布了紧急安全更新，修复了两个重要的SQL注入漏洞，这些漏洞可能允许经过身份验证的用户从后端数据库提取敏感数据。这两个被标记为CVE-2025-64492和CVE-2025-64493的漏洞影响了SuiteCRM 8.9.0及以下版本，并已在8.9.1版本中修复。

CVE-2025-64492：高危时间盲注漏洞

第一个漏洞CVE-2025-64492的CVSS评分为8.8，属于高危级别。这是一个基于时间的盲SQL注入漏洞，经过身份验证的用户可以通过测量响应延迟来间接检索数据库内容。

根据安全公告，成功的攻击可能允许威胁行为者：

• 枚举数据库、表和列名
• 提取敏感数据，包括哈希密码、客户详细信息和其他业务关键信息
• 在某些配置下，可能提升权限甚至实现远程代码执行——尽管"仅凭盲SQLi不太常见"

SuiteCRM安全团队表示：“此漏洞允许经过身份验证的攻击者通过测量响应时间来推断数据库中的数据……可能导致敏感信息泄露。”

由于该漏洞需要身份验证，利用很可能来自受损账户或已经可以访问CRM仪表板的恶意内部人员。

CVE-2025-64493：GraphQL API中危漏洞

第二个问题CVE-2025-64493影响SuiteCRM中的GraphQL API，CVSS评分为6.5（中危）。该漏洞存在于GraphQL端点的appMetadata操作中，在与数据库交互之前未能正确清理用户提供的输入。

安全公告确认：“GraphQL API的appMetadata操作中存在经过身份验证的盲（基于时间）SQL注入。”

与前一个漏洞不同，此漏洞在8.6.0至8.8.0版本中观察到，且不需要管理员权限，显著扩大了潜在的攻击面。

这意味着任何登录用户——即使是权限有限的用户——都可能利用该漏洞泄露敏感的客户信息或公司数据。

影响与修复

SuiteCRM被企业和公共部门组织广泛部署，用于管理客户关系、销售渠道和营销数据。在此类系统中成功的SQL注入可能暴露机密的CRM数据、销售记录以及客户和员工的个人信息。

两个漏洞已在SuiteCRM 8.9.1版本中修复，维护团队建议所有用户立即升级到此版本。