CVE-2024-36407— SuiteCRM 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2024-36407の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
SuiteCRM unauthenticated user password reset on php7
ソース: NVD (National Vulnerability Database)
脆弱性説明
SuiteCRM is an open-source Customer Relationship Management (CRM) software application. In versions prior to 7.14.4 and 8.6.1, a user password can be reset from an unauthenticated attacker. The attacker does not get access to the new password. But this can be annoying for the user. This attack is also dependent on some password reset functionalities being enabled. It also requires the system using php 7, which is not an officially supported version. Versions 7.14.4 and 8.6.1 contain a fix for this issue.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
忘记口令恢复机制弱
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
SuiteCRM 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
SuiteCRM是SuiteCRM团队的一个客户关系管理系统。 SuiteCRM存在安全漏洞。未经身份验证的攻击者利用该漏洞可以重置用户密码。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| salesagility | SuiteCRM | < 7.14.4 | - |
II. CVE-2024-36407の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2024-36407のインテリジェンス情報
请登录查看更多情报信息。
Same Patch Batch · salesagility · 2024-06-10 · 14 CVEs total
| CVE-2024-36412 | 10.0 CRITICAL | SuiteCRM unauthenticated SQL Injection |
| CVE-2024-36409 | 9.6 CRITICAL | SuiteCRM authenticated SQL Injection in TreeData entrypoint |
| CVE-2024-36411 | 9.6 CRITICAL | SuiteCRM authenticated SQL Injection in EmailUIAjax displayView controller |
| CVE-2024-36408 | 9.6 CRITICAL | SuiteCRM authenticated SQL Injection in Alerts |
| CVE-2024-36410 | 9.6 CRITICAL | SuiteCRM authenticated SQL Injection in EmailUIAjax messages count controller |
| CVE-2024-36415 | 9.1 CRITICAL | SuiteCRM Improper Control of Filename for Include Statement in PHP and Unrestricted Upload |
| CVE-2024-36413 | 8.9 HIGH | SuiteCRM authenticated Reflected Cross-Site Scripting |
| CVE-2024-36418 | 8.6 HIGH | SuiteCRM authenticated RCE using connectors |
| CVE-2024-36416 | 8.6 HIGH | SuiteCRM v4 API Excessive log data DOS |
| CVE-2024-36414 | 7.7 HIGH | SuiteCRM authenticated Server-Side Request Forgery |
| CVE-2024-36417 | 5.7 MEDIUM | SuiteCRM Stored XSS Vulnerability Allows Code Execution via Malicious iFrame |
| CVE-2024-36406 | 5.4 MEDIUM | SuiteCRM vulnerable to open redirects |
| CVE-2024-36419 | 4.3 MEDIUM | SuiteCRM-Core Host Header Injection in /legacy |
IV. 関連脆弱性
同じ製品: SuiteCRM
- CVE-2019-25664
SuiteCRM 7.10.7 SQL Injection via record Parameter - CVE-2019-25663
SuiteCRM 7.10.7 SQL Injection via parentTab Parameter - CVE-2026-33289
SuiterCRM has LDAP Filter Injection in Authentication Module - CVE-2026-33288
SuiteCRM has Authenticated SQL Injection in Authentication M - CVE-2026-29189
SuiteCRM has a REST API V8 IDOR: Missing ACL Checks on User
同じベンダー: salesagility
- CVE-2024-50335
Authenticated XSS in "Publish Key" Field Allowing Unauthoriz - CVE-2024-50333
RCE in ModuleBuilder in SuiteCRM - CVE-2024-50332
Authenticated Blind SQL Injection in DeleteRelationShip in S - CVE-2024-49774
ModuleScanner flaws in SuiteCRM - CVE-2024-49773
Improper Neutralization of Special Elements used in an SQL C
同じ弱点: CWE-640
V. CVE-2024-36407へのコメント
まだコメントはありません