CVE-2025-54784— SuiteCRM 跨站脚本漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2025-54784の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
SuiteCRM is vulnerable to Cross Site Scripting (XSS) through its email viewer
ソース: NVD (National Vulnerability Database)
脆弱性説明
SuiteCRM is an open-source, enterprise-ready Customer Relationship Management (CRM) software application. There is a Cross Site Scripting (XSS) vulnerability in the email viewer in versions 7.14.0 through 7.14.6. An external attacker could send a prepared message to the inbox of the SuiteCRM-instance. By simply viewing emails as the logged-in user, the payload can be triggered. With that, an attacker is able to run arbitrary actions as the logged-in user - like extracting data, or if it is an admin executing the payload, takeover the instance. This is fixed in versions 7.14.7.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
SuiteCRM 跨站脚本漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
SuiteCRM是SuiteCRM团队的一个客户关系管理系统。 SuiteCRM 7.14.0至7.14.6版本存在跨站脚本漏洞,该漏洞源于电子邮件查看器容易受到跨站脚本攻击。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2025-54784の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2025-54784のインテリジェンス情報
请登录查看更多情报信息。
- 7.14.x Releases :: SuiteCRM Documentationx_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2025-54784
Same Patch Batch · SuiteCRM · 2025-08-07 · 3 CVEs total
| CVE-2025-54787 | 3.7 LOW | SuiteCRM: Improper Authorization for attachment downloads |
| CVE-2025-54783 | SuiteCRM: Reflected Cross Site Scripting (XSS) through HTTP Referrer header |
IV. 関連脆弱性
同じ製品: SuiteCRM
- CVE-2019-25664
SuiteCRM 7.10.7 SQL Injection via record Parameter - CVE-2019-25663
SuiteCRM 7.10.7 SQL Injection via parentTab Parameter - CVE-2026-33289
SuiterCRM has LDAP Filter Injection in Authentication Module - CVE-2026-33288
SuiteCRM has Authenticated SQL Injection in Authentication M - CVE-2026-29189
SuiteCRM has a REST API V8 IDOR: Missing ACL Checks on User
同じベンダー: SuiteCRM
- CVE-2019-25664
SuiteCRM 7.10.7 SQL Injection via record Parameter - CVE-2019-25663
SuiteCRM 7.10.7 SQL Injection via parentTab Parameter - CVE-2026-32697
SuiteCRM: RecordHandler::getRecord() missing ACLAccess('view - CVE-2026-29109
SuiteCRM Authenticated Remote Code Execution via Unsafe Dese - CVE-2026-29108
Authenticated SuiteCRM Users Can Retrieve The Password Hash
同じ弱点: CWE-79
- CVE-2026-8262
Devs Palace ERP Online chart-save cross site scripting - CVE-2026-8256
Devs Palace ERP Online mr-save cross site scripting - CVE-2026-8255
Devs Palace ERP Online add_new_customer cross site scripting - CVE-2026-8254
Devs Palace ERP Online sales_save cross site scripting - CVE-2026-8253
Devs Palace ERP Online purchase_save cross site scripting
V. CVE-2025-54784へのコメント
まだコメントはありません