N/A

An issue was discovered in SugarCRM 12 before 12.0.4 and 13 before 13.0.2. A Server Site Template Injection (SSTI) vulnerability has been identified in the GecControl action. By using a crafted request, custom PHP code can be injected via the GetControl action because of missing input validation. An attacker with regular user privileges can exploit this.

N/A

N/A

SugarCRM 安全漏洞

SugarCRM是美国SugarCRM公司的一套开源的客户关系管理系统（CRM）。该系统支持对不同的客户需求进行差异化营销、管理和分配销售线索，实现销售代表的信息共享和追踪。 SugarCRM 12 12.0.4 之前、SugarCRM 13 13.0.2之前版本存在安全漏洞，该漏洞源于由于缺少输入验证，可以通过GetControl 注入自定义 PHP 代码。

N/A

N/A