Plataforma
php
Componente
suitecrm
Corregido en
7.15.2
Se ha identificado una vulnerabilidad de inyección HTML reflejada en SuiteCRM, una aplicación CRM de código abierto. Esta vulnerabilidad permite a atacantes inyectar contenido HTML arbitrario en la página de inicio de sesión, lo que podría resultar en ataques de phishing y defacement de la página. La vulnerabilidad afecta a las versiones de SuiteCRM hasta la 7.15.0, y se ha solucionado en la versión 7.15.1.
La inyección HTML reflejada permite a un atacante manipular la página de inicio de sesión de SuiteCRM para engañar a los usuarios y robar sus credenciales. Un atacante podría crear una página de inicio de sesión falsa que imite la apariencia legítima de SuiteCRM, solicitando a los usuarios que ingresen sus nombres de usuario y contraseñas. Esta información podría luego ser utilizada para acceder a datos confidenciales, modificar registros o incluso tomar control de la instancia de SuiteCRM. El impacto se amplifica si SuiteCRM se utiliza para almacenar información sensible de clientes o empleados, ya que la exposición de estos datos podría tener graves consecuencias legales y financieras. La facilidad de explotación de esta vulnerabilidad, combinada con la popularidad de SuiteCRM, la convierte en un riesgo significativo.
Esta vulnerabilidad ha sido publicada públicamente el 19 de marzo de 2026. No se ha reportado su inclusión en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de la redacción. La probabilidad de explotación se considera media, dada la facilidad de la inyección HTML y la disponibilidad de SuiteCRM en entornos de producción. Se recomienda monitorear activamente la situación y aplicar la actualización lo antes posible.
Organizations using SuiteCRM versions 7.15.0 or earlier, particularly those with publicly accessible login pages or those who rely on SuiteCRM for sensitive customer data, are at risk. Shared hosting environments where multiple users share the same SuiteCRM instance are also particularly vulnerable.
• php / web:
curl -I 'https://your-suitecrm-domain.com/login.php?param=<script>alert(1)</script>' | grep -i content-type• generic web:
curl -I 'https://your-suitecrm-domain.com/login.php?param=<script>alert(1)</script>' | grep -i content-typedisclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar SuiteCRM a la versión 7.15.1 o superior, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de la entrada del usuario en la página de inicio de sesión. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código HTML malicioso. Monitorear los registros de acceso y error de SuiteCRM en busca de patrones sospechosos, como intentos de inyección HTML, también puede ayudar a detectar y prevenir ataques. Después de la actualización, confirme la mitigación revisando los registros de auditoría y realizando pruebas de penetración.
Actualice SuiteCRM a la versión 7.15.1 o superior. Esta versión corrige la vulnerabilidad de inyección HTML reflejada en la página de inicio de sesión.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-29100 is a reflected XSS vulnerability in SuiteCRM versions up to 7.15.0, allowing attackers to inject malicious HTML and potentially steal credentials or deface the login page.
You are affected if you are running SuiteCRM version 7.15.0 or earlier. Upgrade to 7.15.1 to mitigate the risk.
The recommended fix is to upgrade SuiteCRM to version 7.15.1 or later. Consider input validation and WAF rules as temporary mitigations if upgrading is not immediately possible.
While no active exploitation has been publicly confirmed, the ease of exploitation suggests a potential for attacks. Monitor your systems closely.
Refer to the SuiteCRM security advisories page for the latest information and official announcements regarding CVE-2026-29100.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.