मुफ्त स्कैन करें
HIGHCVE-2026-29100CVSS 7.1

SuiteCRM has Reflected HTML Injection in Login Page via default_user_name Parameter

अनुवाद हो रहा है…

प्लेटफ़ॉर्म

php

घटक

suitecrm

में ठीक किया गया

7.15.2

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2026-29100 identifies a reflected cross-site scripting (XSS) vulnerability within SuiteCRM versions up to 7.15.0. This flaw allows attackers to inject malicious HTML content into the login page, potentially leading to phishing attacks and unauthorized page modifications. The vulnerability impacts SuiteCRM installations running versions prior to 7.15.1, and a patch has been released to address the issue.

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

The reflected XSS vulnerability in SuiteCRM allows an attacker to craft a malicious URL containing injected HTML or JavaScript code. When a user clicks this link or visits a page containing the malicious code, the injected script executes within their browser context, impersonating the user. This can be exploited to steal session cookies, redirect users to phishing sites designed to harvest credentials, or deface the SuiteCRM login page. Successful exploitation could compromise sensitive customer data and internal system access, particularly if users are tricked into entering credentials on the malicious page.

शोषण संदर्भअनुवाद हो रहा है…

CVE-2026-29100 was publicly disclosed on 2026-03-19. No public proof-of-concept (PoC) code has been released at the time of writing, but the vulnerability's nature makes it relatively easy to exploit. The EPSS score is likely medium, indicating a moderate probability of exploitation given the ease of exploitation and potential impact. It is not currently listed on the CISA KEV catalog.

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations using SuiteCRM versions 7.15.0 or earlier, particularly those with publicly accessible login pages or those who rely on SuiteCRM for sensitive customer data, are at risk. Shared hosting environments where multiple users share the same SuiteCRM instance are also particularly vulnerable.

पहचान के चरणअनुवाद हो रहा है…

• php / web:

curl -I 'https://your-suitecrm-domain.com/login.php?param=<script>alert(1)</script>' | grep -i content-type

• generic web:

curl -I 'https://your-suitecrm-domain.com/login.php?param=<script>alert(1)</script>' | grep -i content-type

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.03% (10% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N7.1HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकsuitecrm
विक्रेताSuiteCRM
प्रभावित श्रेणीमें ठीक किया गया
< 7.15.1 – < 7.15.17.15.2

कमजोरी वर्गीकरण (CWE)

CWE-79

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंडअनुवाद हो रहा है…

The primary mitigation for CVE-2026-29100 is to immediately upgrade SuiteCRM to version 7.15.1 or later. If upgrading is not immediately feasible, consider implementing input validation and output encoding on the login page to sanitize user-supplied data. Web application firewalls (WAFs) configured with rules to detect and block reflected XSS attacks can provide an additional layer of defense. Regularly review and update WAF rules to ensure effectiveness.

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice SuiteCRM a la versión 7.15.1 o superior. Esta versión corrige la vulnerabilidad de inyección HTML reflejada en la página de inicio de sesión.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2026-29100 — Reflected XSS in SuiteCRM?

CVE-2026-29100 is a reflected XSS vulnerability in SuiteCRM versions up to 7.15.0, allowing attackers to inject malicious HTML and potentially steal credentials or deface the login page.

Am I affected by CVE-2026-29100 in SuiteCRM?

You are affected if you are running SuiteCRM version 7.15.0 or earlier. Upgrade to 7.15.1 to mitigate the risk.

How do I fix CVE-2026-29100 in SuiteCRM?

The recommended fix is to upgrade SuiteCRM to version 7.15.1 or later. Consider input validation and WAF rules as temporary mitigations if upgrading is not immediately possible.

Is CVE-2026-29100 being actively exploited?

While no active exploitation has been publicly confirmed, the ease of exploitation suggests a potential for attacks. Monitor your systems closely.

Where can I find the official SuiteCRM advisory for CVE-2026-29100?

Refer to the SuiteCRM security advisories page for the latest information and official announcements regarding CVE-2026-29100.

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें