CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15301
https://notcve.org/view.php?id=CVE-2020-15301
18 Nov 2020 — SuiteCRM through 7.11.13 allows CSV Injection via registration fields in the Accounts, Contacts, Opportunities, and Leads modules. These fields are mishandled during a Download Import File Template operation. SuiteCRM versiones hasta 7.11.13, permite la inyección de CSV por medio de los campos de registro en los módulos Accounts, Contacts, Opportunities, y Leads. Estos campos son manejados inapropiadamente durante una operación de Descargar plantilla de archivo de importación • https://www.wizlynxgroup.com/security-research-advisories/vuln/WLX-2020-010 • CWE-1236: Improper Neutralization of Formula Elements in a CSV File •
CVSS: 9.0EPSS: 52%CPEs: 1EXPL: 8CVE-2020-28328 – SuiteCRM 7.11.15 - 'last_name' Remote Code Execution (Authenticated)
https://notcve.org/view.php?id=CVE-2020-28328
06 Nov 2020 — SuiteCRM before 7.11.17 is vulnerable to remote code execution via the system settings Log File Name setting. In certain circumstances involving admin account takeover, logger_file_name can refer to an attacker-controlled .php file under the web root. SuiteCRM versiones anteriores a 7.11.17 es vulnerable a una ejecución de código remota por medio de la configuración Log File Name de los ajustes de sistema. En determinadas circunstancias involucra la toma de control de la cuenta de administrador, la fun... • https://packetstorm.news/files/id/162975 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 8.8EPSS: 1%CPEs: 1EXPL: 1CVE-2020-8800 – SuiteCRM 7.11.11 Second-Order PHP Object Injection
https://notcve.org/view.php?id=CVE-2020-8800
13 Feb 2020 — SuiteCRM through 7.11.11 allows EmailsControllerActionGetFromFields PHP Object Injection. SuiteCRM versiones hasta 7.11.11, permite una Inyección de objeto PHP de la función EmailsControllerActionGetFromFields. SuiteCRM versions 7.11.11 and below suffer from a second-order php object injection vulnerability. • https://packetstorm.news/files/id/156321 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 7.2EPSS: 1%CPEs: 1EXPL: 1CVE-2020-8801 – SuiteCRM 7.11.11 Phar Deserialization
https://notcve.org/view.php?id=CVE-2020-8801
13 Feb 2020 — SuiteCRM through 7.11.11 allows PHAR Deserialization. SuiteCRM versiones hasta 7.11.11, permite una deserialización de PHAR. SuiteCRM versions 7.11.11 and below suffer from multiple phar deserialization vulnerabilities. • https://packetstorm.news/files/id/156324 • CWE-502: Deserialization of Untrusted Data •
CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 1CVE-2020-8802 – SuiteCRM 7.11.11 Bean Manipulation
https://notcve.org/view.php?id=CVE-2020-8802
13 Feb 2020 — SuiteCRM through 7.11.11 has Incorrect Access Control via action_saveHTMLField Bean Manipulation. SuiteCRM versiones hasta 7.11.11, presenta un Control de Acceso Incorrecto por medio de una Manipulación de Bean de action_saveHTMLField. SuiteCRM versions 7.11.11 and below suffer from an action_saveHTMLField bean manipulation vulnerability. • https://packetstorm.news/files/id/156327 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 5%CPEs: 1EXPL: 1CVE-2020-8803 – SuiteCRM 7.11.11 Broken Access Control / Local File Inclusion
https://notcve.org/view.php?id=CVE-2020-8803
13 Feb 2020 — SuiteCRM through 7.11.11 allows Directory Traversal to include arbitrary .php files within the webroot via add_to_prospect_list. SuiteCRM versiones hasta 7.11.11, permite un Salto de Directorio para incluir archivos arbitrarios .php dentro de la root web por medio de la función add_to_prospect_list. SuiteCRM versions 7.11.11 and below suffer from an add_to_prospect_list broken access control that allows for local file inclusion attacks. • https://packetstorm.news/files/id/156329 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 2CVE-2020-8804 – SuiteCRM 7.11.10 SQL Injection
https://notcve.org/view.php?id=CVE-2020-8804
13 Feb 2020 — SuiteCRM through 7.11.10 allows SQL Injection via the SOAP API, the EmailUIAjax interface, or the MailMerge module. SuiteCRM versiones hasta 7.11.10, permite una inyección SQL por medio de la API SOAP, la interfaz EmailUIAjax o el módulo MailMerge. SuiteCRM versions 7.11.10 and below suffer from multiple remote SQL injection vulnerabilities. • https://packetstorm.news/files/id/156331 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2019-12598
https://notcve.org/view.php?id=CVE-2019-12598
07 Jun 2019 — SuiteCRM 7.8.x before 7.8.30, 7.10.x before 7.10.17, and 7.11.x before 7.11.5 allows SQL Injection (issue 1 of 3). SuiteCRM versión 7.8. x anterior a la versión 7.8.30, versión 7.10. x anterior a la versión 7.10.17 y versión 7.11. x anterior a la versión 7.11.5, permite la inyección SQL (problema 1 de 3). • https://docs.suitecrm.com/admin/releases/7.11.x/#_7_11_5 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2019-12600
https://notcve.org/view.php?id=CVE-2019-12600
07 Jun 2019 — SuiteCRM 7.8.x before 7.8.30, 7.10.x before 7.10.17, and 7.11.x before 7.11.5 allows SQL Injection (issue 2 of 3). SuiteCRM versión 7.8. x anterior a la versión 7.8.30, versión 7.10. x anterior a la versión 7.10.17 y versión 7.11. x anterior a la versión 7.11.5, permite la inyección SQL (problema 2 de 3). • https://docs.suitecrm.com/admin/releases/7.11.x/#_7_11_5 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2019-12601
https://notcve.org/view.php?id=CVE-2019-12601
07 Jun 2019 — SuiteCRM 7.8.x before 7.8.30, 7.10.x before 7.10.17, and 7.11.x before 7.11.5 allows SQL Injection (issue 3 of 3). SuiteCRM versión 7.8. x anterior a la versión 7.8.30, versión 7.10. x anterior a la versión 7.10.17 y versión 7.11. x anterior a la versión 7.11.5, permite la inyección SQL (problema 3 de 3). • https://docs.suitecrm.com/admin/releases/7.11.x/#_7_11_5 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •