Das Customer-Relations-Management-System SugarCRM enthält mehr als achtzehn Sicherheitslecks, die in den neuesten Versionen behoben wurden. SugarCRM ist eine Software, die Unternehmen dabei unterstützt, Kundenbeziehungen zu verwalten und zu verbessern. Zum Beispiel kann ein Unternehmen mithilfe von CRM Kundendaten wie Kontaktdetails, Kaufhistorie und Interaktionen verfolgen und analysieren, um personalisierte Marketingkampagnen durchzuführen oder den Kundenservice optimieren.
Obwohl der Hersteller versichert, dass bisher keine dieser Lücken aktiv ausgenutzt wurde, wird allen Kunden dringend empfohlen, ein schnelles Update durchzuführen. Die Liste der Schwachstellen umfasst unter anderem solche für das Einschleusen und Ausführen von Code (RCE), Stored XSS (Cross-Site Scripting, eine Sicherheitslücke, die es einem Angreifer ermöglicht, schädlichen Code einzuschleusen und auszuführen) und SQL-Injection (eine Angriffstechnik, bei der ein Angreifer bösartigen SQL-Code in eine Anwendung einschleust, um die zugrundeliegende Datenbank zu manipulieren oder Daten abzurufen).
Einige der Sicherheitslücken werden vom Hersteller als kritisch eingestuft, aber es werden keine CVSS-Einstufungen oder CVE-Referenzen bereitgestellt. Diese Schwachstellen wurden jedoch in den aktualisierten Versionen 12.0.5 und 13.0.3 behoben.
