Sugarcrm支持政策安全Sugarcrm-SA-2021-010

Sugarcrm-SA-2021-010

咨询ID.: //support.phone2play.com/Resources/Security/sugarcrm-sa-2021-010

修订: 1.0

最近更新时间:2021-03-04

地位: 最终的

概括

风险水平: 高的

漏洞:XSS.

描述

在某些模块中已识别XSS漏洞。使用特制的请求,由于输入验证缺少,可以通过某些模块注入自定义PHP代码。常规用户权限可以利用此漏洞。

我们没有经历过与此漏洞相关的任何报告的事件。

受影响的产品

受影响产品列表反映了本咨询的出版日期的所有目前维护的版本。如果您正在运行旧版本,而不是下面报告的版本,我们强烈建议立即升级到其中一个支持的版本。

产品 固定释放
Sugarcrm 10.2.
专业,企业,终极,出售,服务
10.2.0
Sugarcrm 10.0.
专业,企业,终极,出售,服务
10.0.4
Sugarcrm 9.0.
专业,企业,终极
9.0.6

升级

现场客户

强烈建议将受影响的产品升级到报告的固定发布版本。 Sugarcrm维护其产品的不同版本,每个产品都具有特定的升级路径。有关修补实例的适当指导,请参阅“安装和升级指南”。联系支持对升级有关的任何进一步查询。

甘蔗客户

托管Sugcloud的客户将自动收到升级。

解决方法

此漏洞没有解决方法。

出版历史

2021-03-04 更新受众披露
2020-02-11 内部披露

省略分发URL的本文档的独立副本是一个不受控制的副本,可能缺乏重要信息或包含事实错误。 Sugarcrm保留随时更改或更新本文件的权利。

学分

脆弱性是由Gemeente Amsterdam负责任的披露,并已由Sugarcrm保安团队修正。