Sugarcrm支持政策安全Sugarcrm-SA-2020-041

Sugarcrm-SA-2020-041

咨询ID. : //support.phone2play.com/Resources/Security/sugarcrm-sa-2020-041

修订 : 1.0

最近更新时间 :2020-09-03

地位 : Final

概括

风险等级 : Medium

漏洞 : 跨站点脚本(XSS)

描述

在EmailTemplates模块中已识别XSS(跨站点脚本)漏洞。使用特制的请求,可以通过缺少输入验证,通过EmailTemplates模块注入自定义PHP代码。常规用户权限可以利用此漏洞。

我们没有经历过与此漏洞相关的任何报告的事件。

受影响的产品

受影响产品列表反映了本咨询的出版日期的所有目前维护的版本。如果您正在运行旧版本,而不是下面报告的版本,我们强烈建议立即升级到其中一个支持的版本。

产品 固定释放
Sugarcrm 10.0.
专业,企业,终极,出售,服务
10.0.0
Sugarcrm 9.0.
专业,企业,终极
9.0.4
Sugarcrm 8.0
专业,企业,终极
8.0.7

升级

现场客户

强烈建议将受影响的产品升级到报告的固定发布版本。 Sugarcrm维护其产品的不同版本,每个产品都具有特定的升级路径。有关修补实例的适当指导,请参阅“安装和升级指南”。联系支持对升级有关的任何进一步查询。

甘蔗客户

托管Sugcloud的客户将自动收到升级。

解决方法

此漏洞没有解决方法。

出版历史

2020-09-03 更新受众披露
2019-10-04 内部披露

省略分发URL的本文档的独立副本是一个不受控制的副本,可能缺乏重要信息或包含事实错误。 Sugarcrm保留随时更改或更新本文件的权利。

学分

Sugarcrm安全团队研究和修复了这种漏洞。