CVE-2023-22952
CVE-2023-22952
Vexday Risk Score
100Corrigir agora
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 8.8EPSS 80.3%KEV simPoC públicaNuclei simMetasploit simPatch —
Ciclo de vida
28 dez 2022Exploit Metasploit disponível
11 jan 2023Publicada no NVD
02 fev 2023Exploração ativa (CISA KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
Versões do SugarCRM anteriores à 12.0 Hotfix 91155 permitem que atacantes injetem e executem código PHP malicioso através de templates de email devido à falta de validação de entrada. Isso pode resultar em comprometimento completo do sistema e acesso não autorizado a dados sensíveis.
Detalhe técnico
Um atacante remoto pode explorar CWE-94 (Controle Impróprio de Geração de Código) criando requisições que injetam código PHP arbitrário em EmailTemplates sem validação de entrada adequada. A vulnerabilidade permite execução de código no contexto da aplicação, potencialmente levando a comprometimento total do servidor e vazamento de dados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
In SugarCRM before 12.0. Hotfix 91155, a crafted request can inject custom PHP code through the EmailTemplates because of missing input validation.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 1
cve_referencepacketstormsecurity.com/files/171320/SugarCRM-12.x-Remote-Code-Execution-Shell-Upload.htmlnão verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →