Importancia 4 – Alta

Recursos Afectados

  • Sage CRM 2021, versiones anteriores a R2.5.
  • Sage CRM 2022, versiones anteriores a R2.4.
  • Sage CRM 2023, versiones anteriores a R2.2.

Descripción

Se han lanzado tres parches para Sage CRM que corrigen vulnerabilidades y proporcionan una mejora de seguridad. Las vulnerabilidades corregidas podrían permitir a un ciberdelincuente realizar ataques de inyección SQL.

Solución

Se recomienda aplicar los parches lo antes posible:

  • Sage CRM 2021 R2.5
  • Sage CRM 2022 R2.4
  •  Sage CRM 2023 R2.2

Mejoras que incluyen los parches:

  • Apache Solr se ha actualizado a la versión 8.
  • Se ha proporcionado mitigación para prevenir ataques de inyección SQL dentro de ciertos campos.
  • Se ha corregido un error que se producía cuando un usuario cargaba un archivo, cuyo nombre contenía un signo “&” en Sage CRM.

Se ha incluido una nueva casilla de verificación que permite a los administradores del sistema habilitar o deshabilitar la opción de permitir URL externas en los gadgets de sitios web. Permitir URL externas puede hacer que los usuarios sean redirigidos a URL maliciosas, haciendo que Sage CRM sea menos seguro.

Con los ataques SQL los ciberdelincuentes pretenden acceder a las bases de datos de las empresas, con la intención de obtener información o provocar daños. Tanto en este como en otro tipo de ataques, es muy importante contar con un plan de respuesta ante incidentes que ayude a minimizar el impacto.

Detalle

Los parches de seguridad incluyen medidas para prevenir ataques de inyección SQL en ciertos campos. Además, añaden una mejora de seguridad que permite a los administradores habilitar o deshabilitar URL externas, que podrían resultar maliciosas, proporcionando así un control adicional de seguridad.

Un componente interactivo en el panel de un sitio web impide mostrar ciertas páginas web si están configuradas para evitar ser cargadas dentro de un marco en otro sitio web. Si se usa Firefox como navegador, podría aparecer el siguiente mensaje: «Para proteger tu seguridad, <URL> no permitirá que Firefox muestre la página si otro sitio la ha incorporado. Para ver esta página, necesitas abrirla en una nueva ventana».

Este mensaje se debe a una configuración específica en el servidor web y no a un error de CRM.