CVE-2024-36415 – SuiteCRM Improper Control of Filename for Include Statement in PHP and Unrestricted Upload of File with Dangerous content leads to authenticated remote code execution
https://notcve.org/view.php?id=CVE-2024-36415
SuiteCRM is an open-source Customer Relationship Management (CRM) software application. Prior to versions 7.14.4 and 8.6.1, a vulnerability in uploaded file verification in products allows for remote code execution. Versions 7.14.4 and 8.6.1 contain a fix for this issue. SuiteCRM es una aplicación de software de gestión de relaciones con el cliente (CRM) de código abierto. Antes de las versiones 7.14.4 y 8.6.1, una vulnerabilidad en la verificación de archivos cargados en los productos permitía la ejecución remota de código. • https://github.com/salesagility/SuiteCRM/security/advisories/GHSA-c82f-58jv-jfrh • CWE-98: Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') CWE-434: Unrestricted Upload of File with Dangerous Type •
CVE-2024-36414 – SuiteCRM authenticated Server-Side Request Forgery
https://notcve.org/view.php?id=CVE-2024-36414
SuiteCRM is an open-source Customer Relationship Management (CRM) software application. Prior to versions 7.14.4 and 8.6.1, a vulnerability in the connectors file verification allows for a server-side request forgery attack. Versions 7.14.4 and 8.6.1 contain a fix for this issue. SuiteCRM es una aplicación de software de gestión de relaciones con el cliente (CRM) de código abierto. Antes de las versiones 7.14.4 y 8.6.1, una vulnerabilidad en la verificación de archivos de los conectores permitía un ataque de server-side request forgery. • https://github.com/salesagility/SuiteCRM/security/advisories/GHSA-wg74-772c-8gr7 • CWE-918: Server-Side Request Forgery (SSRF) •
CVE-2024-36413 – SuiteCRM authenticated Reflected Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2024-36413
SuiteCRM is an open-source Customer Relationship Management (CRM) software application. Prior to versions 7.14.4 and 8.6.1, a vulnerability in the import module error view allows for a cross-site scripting attack. Versions 7.14.4 and 8.6.1 contain a fix for this issue. SuiteCRM es una aplicación de software de gestión de relaciones con el cliente (CRM) de código abierto. Antes de las versiones 7.14.4 y 8.6.1, una vulnerabilidad en la vista de errores del módulo de importación permitía un ataque de Cross-Site Scripting. • https://github.com/salesagility/SuiteCRM/security/advisories/GHSA-ph2c-hvvf-r273 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2024-36412 – SuiteCRM unauthenticated SQL Injection
https://notcve.org/view.php?id=CVE-2024-36412
SuiteCRM is an open-source Customer Relationship Management (CRM) software application. Prior to versions 7.14.4 and 8.6.1, a vulnerability in events response entry point allows for a SQL injection attack. Versions 7.14.4 and 8.6.1 contain a fix for this issue. SuiteCRM es una aplicación de software de gestión de relaciones con el cliente (CRM) de código abierto. Antes de las versiones 7.14.4 y 8.6.1, una vulnerabilidad en el punto de entrada de respuesta a eventos permitía un ataque de inyección SQL. • https://github.com/salesagility/SuiteCRM/security/advisories/GHSA-xjx2-38hv-5hh8 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2024-36411 – SuiteCRM authenticated SQL Injection in EmailUIAjax displayView controller
https://notcve.org/view.php?id=CVE-2024-36411
SuiteCRM is an open-source Customer Relationship Management (CRM) software application. In versions prior to 7.14.4 and 8.6.1, poor input validation allows for SQL Injection in EmailUIAjax displayView controller. Versions 7.14.4 and 8.6.1 contain a fix for this issue. SuiteCRM es una aplicación de software de gestión de relaciones con el cliente (CRM) de código abierto. En versiones anteriores a 7.14.4 y 8.6.1, una validación de entrada deficiente permite la inyección de SQL en el controlador DisplayView de EmailUIAjax. • https://github.com/salesagility/SuiteCRM/security/advisories/GHSA-9rvr-mcrf-p4p7 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •