CVE-2024-36412 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SuiteCRM 事件响应入口存在 **SQL注入** 漏洞。 💥 **后果**：攻击者可窃取、篡改或删除数据库中的敏感客户数据，甚至完全控制服务器。

🔍 **CWE-89**：SQL注入。 📍 **缺陷点**：`events` 响应入口未对用户输入进行严格过滤，导致恶意SQL代码被执行。

🏢 **厂商**：SalesAgility。 📦 **产品**：SuiteCRM。 ⚠️ **受影响版本**：低于 **7.14.4** 和 **8.6.1** 的所有版本。

🕵️ **权限**：无需认证（PR:N）。 📊 **数据**：高机密性（C:H）、高完整性（I:H）、高可用性（A:H）。 🔓 **能力**：可执行任意SQL命令，获取数据库最高权限。

📉 **门槛极低**。 🔑 **认证**：无需登录（PR:N）。 🖱️ **交互**：无需用户操作（UI:N）。 🌐 **网络**：远程利用（AV:N）。 🎯 **复杂度**：低（AC:L）。

🧪 **有现成PoC**。 🔗 **来源**：ProjectDiscovery Nuclei 模板已发布。 🌍 **在野**：数据未明确提及大规模在野利用，但利用工具已公开。

🔎 **扫描特征**：检测对 `events` 端点的恶意SQL载荷请求。 🛠️ **工具**：使用 Nuclei 模板 `CVE-2024-36412.yaml` 进行自动化扫描。

✅ **已修复**。 📅 **发布时间**：2024-06-10。 🔧 **补丁版本**：升级至 **SuiteCRM 7.14.4** 或 **8.6.1** 及以上版本。

🛡️ **临时规避**： 1. 立即升级至安全版本。 2. 若无补丁，限制 `events` 入口的网络访问权限。 3. 部署WAF规则拦截SQL注入特征。

🔥 **紧急程度：高**。 📈 **CVSS评分**：极高（向量显示所有维度均为高/无限制）。 💡 **建议**：立即修复，该漏洞无需认证即可远程利用，风险极大。