从截图中可以获取以下关于漏洞的关键信息: 漏洞概述 标题: Privilege Escalation in SuiteCRM-7.14.7 via Improper Session Invalidation and Inactive User Bypass CVSS Score: 8.1 (High) CVE ID: CVE-2025-64489 影响版本与修复版本 受影响版本: - SuiteCRM <= 7.14.7 - SuiteCRM <= 8.9.0 修复版本: - SuiteCRM 7.14.8 - SuiteCRM 8.9.1 漏洞详情 问题描述 Summary: 在 SuiteCRM-7.14.7 中存在一个权限提升漏洞,当用户账户被停用时,其会话未被正确注销。停用的用户仍可通过有效的会话继续访问和操作应用,甚至能自行重新激活账户。 具体问题: - 活动会话不被失效:停用账户的用户可继续使用旧会话访问系统。 - 特权提升:停用用户可修改自身账户状态,从而恢复账户的活跃状态。 影响 保密性: 被停用的用户可继续访问敏感的 CRM 数据。 完整性: 被停用的用户可修改其账户状态并更改记录。 可用性: 用户生命周期管理可能被滥用,管理意图(账户停用)被绕过。 根源分析 问题原因: - SuiteCRM 在账户状态变化时未执行会话失效操作。 - 缺少授权检查以限制非管理员角色修改状态字段的能力。 推荐修复措施 1. 会话失效: 账户停用时立即销毁活动会话。 2. 访问控制: 限制状态字段的修改权限仅限于管理员角色。 3. 纵深防御: 实施连续的会话验证,根据用户状态在请求时进行会话有效性检查。