В системе управления взаимоотношениями с клиентами SuiteCRM обнаружена критическая уязвимость, позволяющая злоумышленникам выполнять произвольные команды на сервере. Уязвимость зарегистрирована в базе данных уязвимостей под идентификатором BDU:2025-13971 и имеет назначенный идентификатор CVE-2022-50589.
Детали уязвимости
Проблема затрагивает функцию экспорта данных и связана с недостаточной защитой от SQL-инъекций (SQL injection). Конкретно, система не обеспечивает должную валидацию параметра uid при формировании SQL-запросов. Как следствие, атакующий может внедрить вредоносный код, который будет исполнен на сервере баз данных.
Уязвимость классифицируется как CWE-89 - стандартная категория для недостаточной защиты от внедрения SQL-кода. Эксперты оценили ее как критическую по всем основным метрикам CVSS. В частности, базовая оценка по версии CVSS 2.0 достигает максимального значения 10.0, что указывает на исключительную серьезность угрозы. Более современные версии CVSS 3.0 и CVSS 4.0 также демонстрируют высокие показатели - 9.8 и 9.3 соответственно.
Под угрозой находятся все версии SuiteCRM до 7.12.6 включительно. Данное программное обеспечение разрабатывается компанией SalesAgility Limited и широко используется предприятиями для автоматизации процессов продаж и обслуживания клиентов. Поскольку SuiteCRM относится к категории прикладного программного обеспечения информационных систем, его компрометация может привести к серьезным последствиям для бизнеса.
Технический анализ показывает, что уязвимость позволяет осуществлять атаки типа "инъекция" без необходимости аутентификации. Злоумышленник может действовать удаленно через сеть, при этом не требуются какие-либо специальные привилегии или взаимодействие с пользователем. Успешная эксплуатация уязвимости предоставляет полный контроль над конфиденциальностью, целостностью и доступностью данных.
Производитель подтвердил наличие проблемы и выпустил исправление в версии 7.12.6. Соответственно, единственной эффективной мерой защиты является незамедлительное обновление до актуальной версии программного обеспечения.
Примечательно, что уязвимость была первоначально выявлена еще 2 марта 2022 года, однако широкой общественности стала известна только сейчас. Подобная задержка в раскрытии информации является стандартной практикой, позволяющей разработчикам подготовить исправление до публикации деталей уязвимости.
На текущий момент информация о наличии готовых эксплойтов уточняется. Однако учитывая критический характер уязвимости и относительную простоту эксплуатации, эксперты предполагают, что злоумышленники могут быстро разработать инструменты для атаки. Поэтому задержка с установкой обновления создает значительные риски для организаций.
В заключение стоит отметить, что уязвимости типа SQL-инъекций остаются одним из наиболее распространенных и опасных классов веб-угроз. Регулярное обновление программного обеспечения и проведение аудитов помогают минимизировать риски подобных инцидентов. Особенно это актуально для систем, работающих с конфиденциальными данными клиентов, каковым является SuiteCRM.
Ссылки
- https://bdu.fstec.ru/vul/2025-13971
- https://www.cve.org/CVERecord?id=CVE-2022-50589
- https://nvd.nist.gov/vuln/detail/CVE-2022-50589
- https://docs.suitecrm.com/admin/releases/7.12.x/#_7_12_6
- https://blog.exodusintel.com/2022/06/09/salesagility-suitecrm-export-request-sql-injection-vulnerability/
- https://www.vulncheck.com/advisories/suitecrm-sqli-via-export-functionality
