SuiteCRM漏洞CVE-2025-64492与CVE-2025-64493

SuiteCRM 是一款开源、企业级客户关系管理（CRM）软件，提供了高度定制化功能，不仅免费而且可定制，适用于多种行业和企业规模。

一、基本情况

SuiteCRM 具有强大的功能，作为开源的客户关系管理系统，帮助企业更好地管理客户信息、销售流程、营销活动以及客户服务各个方面。

栋科技漏洞库关注到 SuiteCRM 受影响版本中存在SQL注入漏洞，追踪为CVE-2025-64492与CVE-2025-64493，CVSS 3.X评分8.8和6.5。

二、漏洞分析

CVE-2025-64492

CVE-2025-64492在8.9.0及以下版本中的基于时间的盲SQL注入漏洞，允许经过身份验证的攻击者通过测量响应时间推断数据库中的数据。

该漏洞使得已认证用户可通过测量响应延迟间接获取数据库内容，这意味着攻击者可以枚举数据库、表和列名，提取敏感数据或提升权限。

由于漏洞利用需先通过身份验证，因此这意味着攻击最可能来自已泄露的账户或恶意内部人员（他们已能访问 CRM 控制台）。

潜在风险包括：

枚举数据库、表和列名，可能导致敏感信息的泄露。

从数据库中提取敏感数据，如用户凭据（散列密码）、个人信息、客户数据和其他关键业务信息。

在某些数据库配置中，可能会升级权限或实现远程代码执行，尽管这在单独的盲SQLi中不太常见。

CVE-2025-64492

CVE-2025-64492漏洞影响 SuiteCRM 的 GraphQL API，这是一个GraphQL API 的 appMetadata 操作中存在已认证的基于时间盲注漏洞。

漏洞影响 8.6.0 至 8.8.0 版本且无需管理员权限，源于GraphQL端点appMetadata操作中在与数据库交互前未对用户输入进行充分 sanitize。

该漏洞无需管理权限，意味着任何已登录用户（即使权限有限）都可能利用漏洞窃取敏感客户信息或企业数据，从数据库中提取任意数据。

三、影响范围

SuiteCRM <= 8.9.0 

四、修复建议

SuiteCRM >= 8.9.1

五、参考链接

管理员已设置登录后刷新可查看