Multiples vulnérabilités dans SugarCRM

Dans le cadre d’une prestation, Intrinsec a réalisé un test d’intrusion sur la plateforme SugarCRM, un logiciel libre de gestion de la relation client (CRM) édité par la société américaine SugarCRM. Plusieurs vulnérabilités ont été identifiées et remontées à l’éditeur.

En effet, de multiples failles au sein de SugarCRM permettent à un utilisateur possédant des droits restreints d’élever ses privilèges dans l’application et ainsi d’avoir accès à l’ensemble des informations de l’application. Deux bulletins de sécurité ont été attribués par l’équipe sécurité de SugarCRM.

sugarcrm-sa-2016-004

Un défaut d’autorisation permet à un utilisateur authentifié de récupérer des informations sensibles sur les utilisateurs. Les empreintes des mots de passe ou les informations de session des utilisateurs sont accessibles en passant par les fonctionnalités d’export de l’application ou du module Calendrier.

Bulletin éditeur : https://www.sugarcrm.com/security/sugarcrm-sa-2016-004

sugarcrm-sa-2016-007

Un utilisateur malveillant est en mesure d’élever ses privilèges en se créant un compte administrateur valide à l’aide d’un défaut présent dans le module Calendrier. Cette action nécessite un compte sans droit particulier.

Bulletin éditeur : https://www.sugarcrm.com/security/sugarcrm-sa-2016-007

Historique

2016-05-16 : Découvertes des vulnérabilités
2016-05-19 : Notification à l’éditeur
2016-05-25 : Confirmation du traitement par l’éditeur
2016-07-20 : Vulnérabilités corrigées et bulletins publiés