漏洞信息详情

SugarCRM 安全漏洞

• CNNVD编号：CNNVD-201709-763
• 危害等级： 高危
  
• CVE编号： CVE-2017-14509
• 漏洞类型： 输入验证
• 发布时间： 2017-09-19
• 威胁类型： 远程
• 更新时间： 2017-09-19
• 厂        商： sugarcrm
• 漏洞来源：

漏洞简介

SugarCRM Professional是美国SugarCRM公司的一套开源的客户关系管理系统（CRM）的专业版。该系统支持对不同的客户需求进行差异化营销、管理和分配销售线索，实现销售代表的信息共享和追踪。Enterprise是企业版。Ultimate是旗舰版。

SugarCRM中存在远程文件包含漏洞。远程攻击者可借助module=CallRest＆url= query字符串利用该漏洞包含可访问的系统文件。以下版本受到影响：SugarCRM Professional 7.9版本，7.8版本，7.7.2.3之前的版本，Enterprise 7.9版本，7.8版本，7.7.2.3之前的版本，Ultimate 7.9版本，7.8版本，7.7.2.3之前的版本。

漏洞公告

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://support.sugarcrm.com/Resources/Security/sugarcrm-sa-2017-007/

参考网址

来源:MISC

链接:https://blog.ripstech.com/2017/sugarcrm-security-diet-multiple-vulnerabilities/

来源:MISC

链接:https://support.sugarcrm.com/Resources/Security/sugarcrm-sa-2017-007/

受影响实体

• Sugarcrm Sugarcrm:7.9.1.0  
• Sugarcrm Sugarcrm:7.9.0.1  
• Sugarcrm Sugarcrm:7.9.0.0  
• Sugarcrm Sugarcrm:7.8.2.1  
• Sugarcrm Sugarcrm:7.8.2.0  

补丁

• SugarCRM 安全漏洞的修复措施