Срочно обновиться до 8.9.1.: 0-day в SuiteCRM позволяет удаленно получить доступ к защищенным данным

suitecrm уязвимость сайберОК sql-инъекция безопасность
Срочно обновиться до 8.9.1.: 0-day в SuiteCRM позволяет удаленно получить доступ к защищенным данным
suitecrm уязвимость сайберОК sql-инъекция безопасность

Уязвимость CVE-2025-64492 получила 8,8 балла по шкале CVSS.

image

Компания «СайберОК» сообщила о 0-day-уязвимости в SuiteCRM — CRM-системе с открытым исходным кодом, созданной на базе SugarCRM. Ошибка связана с непринятием мер по защите структуры SQL-запроса (CWE-89) и может позволить злоумышленнику, действующему удалённо, получить несанкционированный доступ к защищаемой информации.

В российском сегменте интернета зафиксировано более тысячи экземпляров SuiteCRM. С момента выявления уязвимости 4 сентября 2025 года и до её регистрации в базе ФСТЭК 10 ноября доля потенциально подверженных инстансов снизилась примерно до 5%, что демонстрирует слаженную и оперативную работу по управлению уязвимостями.

Уязвимость получила идентификатор CVE-2025-64492 (также СОК-2025-09-01, BDU:2025-10914) и оценку 8,8 по шкале CVSS, что соответствует высокому уровню опасности. Уязвимыми считаются версии SuiteCRM ≥8.0.0 и <8.9.1.

Разработчики уже выпустили обновление, устраняющее проблему, — оно доступно в версии 8.9.1.

Дополнительная информация опубликована в базе ФСТЭК, на GitHub Security и в National Vulnerability Database.