Sugarcrm支持政策安全Sugarcrm-SA-2021-014

Sugarcrm-SA-2021-014

咨询ID.: //support.phone2play.com/Resources/Security/sugarcrm-sa-2021-014

修订: 1.0

最近更新时间:2021-03-15

地位: 最终的

概括

风险水平: 中等的

漏洞:XSS.

描述

在上载函数中已识别XSS漏洞。使用特制的请求,由于缺少输入验证,可以通过上传者功能注入自定义PHP代码。任何用户权限都可以利用此漏洞。

我们没有经历过与此漏洞相关的任何报告的事件。

受影响的产品

受影响产品列表反映了本咨询的出版日期的所有目前维护的版本。如果您正在运行旧版本,而不是下面报告的版本,我们强烈建议立即升级到其中一个支持的版本。

产品 固定释放
Sugarcrm 10.2.
专业,企业,终极,出售,服务
10.2.1
Sugarcrm 10.0.
专业,企业,终极,出售,服务
10.0.4
Sugarcrm 9.0.
专业,企业,终极
9.0.6

升级

现场客户

强烈建议将受影响的产品升级到报告的固定发布版本。 Sugarcrm维护其产品的不同版本,每个产品都具有特定的升级路径。有关修补实例的适当指导,请参阅“安装和升级指南”。联系支持对升级有关的任何进一步查询。

甘蔗客户

托管Sugcloud的客户将自动收到升级。

解决方法

此漏洞没有解决方法。

出版历史

2021-03-04 更新受众披露
2020-04-27 内部披露

省略分发URL的本文档的独立副本是一个不受控制的副本,可能缺乏重要信息或包含事实错误。 Sugarcrm保留随时更改或更新本文件的权利。

学分

该漏洞已由Sugarcrm合作伙伴负责披露,并由Sugarcrm保安团队修复。