N/A

SugarCRM before 6.1.3 does not properly handle reloads and direct requests for a warning page produced by a certain duplicate check, which allows remote authenticated users to discover (1) the names of customers via a ShowDuplicates action to the Accounts module, reachable through index.php; or (2) the names of contact persons via a ShowDuplicates action to the Contacts module, reachable through index.php.

N/A

N/A

SugarCRM重复账号和联系人信息泄露漏洞

SugarCRM是美国SugarCRM公司的一套开源的客户关系管理系统（CRM）。该系统支持对不同的客户需求进行差异化营销、管理和分配销售线索，实现销售代表的信息共享和追踪。 SugarCRM 6.1.3之前版本没有为由某个重复检查操作产生的警告页面，正确处理重载和重定向请求。由于浏览或者创建账号和联系人时，modules/Accounts/ShowDuplicates.php和modules/Contacts/ShowDuplicates.php脚本没有校验用户的“List”权限。远程认证用户可以利用该

N/A

N/A