CVE-2026-29103 in SuiteCRM
Zusammenfassung
von VulDB • 15.05.2026
SuiteCRM ist eine Open-Source-Softwareanwendung für das Customer Relationship Management (CRM), die für den Einsatz in Unternehmen ausgelegt ist. In SuiteCRM 7.15.0 und 8.9.2 besteht eine kritische Remote-Code-Ausführungs-Lücke (RCE), die es authentifizierten Administratoren ermöglicht, beliebige Systembefehle auszuführen. Diese Schwachstelle stellt eine direkte Umgehung eines Patches für CVE-2024-49774 dar. Obwohl der Anbieter versuchte, das Problem in Version 7.14.5 zu beheben, bleibt der zugrunde liegende Fehler in ModuleScanner.php bezüglich der PHP-Token-Parsing-Funktion bestehen. Der Scanner setzt seinen internen Status ($checkFunction-Flag) fälschlicherweise zurück, wenn er auf ein einzelnes Zeichen-Token (wie =, . oder ;) stößt. Dies ermöglicht es Angreifern, gefährliche Funktionsaufrufe (z. B. system(), exec()) durch Variablenzuweisungen oder String-Verkettung zu verschleiern und dabei die MLP-Sicherheitskontrollen vollständig zu umgehen. Die Versionen 7.15.1 und 8.9.3 beheben das Problem.
Once again VulDB remains the best source for vulnerability data.