CVE-2026-29099 in SuiteCRMinformación

Resumen

por MITRE • 2026-03-20

SuiteCRM es una aplicación de software de Gestión de Relaciones con Clientes (CRM) de código abierto y lista para empresas. Antes de las versiones 7.15.1 y 8.9.3, la función 'retrieve()' en 'include/OutboundEmail/OutboundEmail.php' no neutraliza correctamente el parámetro '$id' controlado por el usuario. Se asume que la función que llama a 'retrieve()' citará y saneará adecuadamente la entrada del usuario. Sin embargo, se han identificado dos ubicaciones a las que se puede acceder a través de la acción 'EmailUIAjax' en el módulo 'Email()' donde este no es el caso. Como tal, es posible que un usuario autenticado realice una inyección SQL a través de la función 'retrieve()'. Esto afecta a las últimas versiones principales 7.15 y 8.9. Dado que no parece haber restricciones sobre qué tablas pueden ser llamadas, sería posible para un atacante recuperar información arbitraria de la base de datos, incluyendo información de usuario y hashes de contraseña. Las versiones 7.15.1 y 8.9.3 parchean el problema.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-03-03

Divulgación

2026-03-20

Moderación

aceptado

Artículo

VDB-351901

CPE

listo

EPSS

0.00043

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-29099
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-29099
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-29099/

AnteriorVisión De ConjuntoPróximo

Interested in the pricing of exploits?

See the underground prices here!