HIGHCVE-2019-25663CVSS 7.1

SuiteCRM 7.10.7 SQL Injection via parentTab 参数

平台

php

组件

suitecrm

修复版本

7.10.8

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2019-25663 是一个影响 SuiteCRM 7.10.7 的SQL注入漏洞，允许经过身份验证的攻击者通过注入恶意SQL代码来操纵数据库查询。攻击者可以利用此漏洞提取敏感信息。该漏洞影响 SuiteCRM 7.10.7 版本，已发布修复补丁。

影响与攻击场景

SuiteCRM版本7.10.7存在电子邮件模块中的SQL注入漏洞。经过身份验证的攻击者可以通过在'parentTab'参数中注入SQL代码来操纵数据库查询来利用此漏洞。这可能允许未经授权访问存储在SuiteCRM数据库中的敏感信息，包括客户数据、销售信息和其他机密详细信息。此漏洞的严重性在于可能危及组织的完整性和数据机密性。

利用背景

通过向电子邮件模块发送带有'parentTab'参数恶意值的GET请求来利用此漏洞。攻击者可以使用基于布尔值的SQL注入技术从数据库中提取信息。攻击者必须在SuiteCRM系统中经过身份验证才能利用此漏洞。成功的利用需要对SQL的基本了解以及构建恶意SQL查询的能力。

哪些人处于风险中翻译中…

Organizations heavily reliant on SuiteCRM for managing customer relationships and sales data are at significant risk. Specifically, those running older, unpatched versions of SuiteCRM (7.10.7–7.10.7) and those with limited security controls or inadequate WAF protection are particularly vulnerable. Shared hosting environments where multiple customers share the same SuiteCRM instance also face increased risk.

检测步骤翻译中…

• php: Examine SuiteCRM application logs for unusual SQL queries containing potentially malicious syntax (e.g., UNION SELECT, OR 1=1). • generic web: Monitor web server access logs for GET requests to the email module with unusual or excessively long parentTab parameters. • database (mysql): Run a query to check for unauthorized database users or modified database schemas that might indicate compromise: SELECT User, Host FROM mysql.user; • php: Use a code scanner to identify instances of user-supplied data being directly incorporated into SQL queries without proper sanitization.

攻击时间线

2026-04-05Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.03% (8% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件suitecrm

供应商Suitecrm

影响范围修复版本

7.10.7 – 7.10.77.10.8

弱点分类 (CWE)

CWE-89

时间线

已保留2026-04-05
发布日期2026-04-05
修改日期2026-04-06
EPSS 更新日期2026-04-13

缓解措施和替代方案

为了减轻此漏洞，强烈建议将SuiteCRM升级到版本7.10.16或更高版本。此版本包含'parentTab'参数中SQL注入漏洞的补丁。此外，实施安全编码实践，例如验证和清理所有用户输入，可以帮助防止未来的SQL注入漏洞。定期进行安全审计和渗透测试也可以帮助识别和修复潜在的安全缺陷。

修复方法翻译中…

Actualice SuiteCRM a la versión 7.10.16 o posterior para mitigar la vulnerabilidad de inyección SQL.  Asegúrese de realizar una copia de seguridad de su base de datos antes de aplicar la actualización. Consulte la documentación oficial de SuiteCRM para obtener instrucciones detalladas sobre cómo actualizar.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2019-25663 是什么 — SuiteCRM 中的 SQL Injection？

SQL注入是一种攻击技术，允许攻击者通过在用户输入中注入恶意SQL代码来操纵数据库查询。

SuiteCRM 中的 CVE-2019-25663 是否会影响我？

如果您使用的是SuiteCRM版本7.10.7或更早版本，则容易受到此漏洞的影响。检查您的SuiteCRM版本并升级到最新版本。

如何修复 SuiteCRM 中的 CVE-2019-25663？

如果您怀疑您的系统已被破坏，您应该立即更改所有用户密码，检查系统日志以查找可疑活动，并咨询网络安全专业人员。

CVE-2019-25663 是否正在被积极利用？

是的，您可以采取多种安全措施，例如启用双因素身份验证、限制数据库访问以及定期备份您的数据。

在哪里可以找到 SuiteCRM 关于 CVE-2019-25663 的官方安全通告？

您可以在CVE漏洞数据库中找到有关此漏洞的更多信息：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-25663