SQL Injection in BetaSoft CRM — Customer Data Exposure
Vendor
BetaSoft S.r.l.
Prodotto
BetaCRM v7.1
Data
Una SQL Injection nel modulo di ricerca avanzata di BetaCRM permette a un utente autenticato con privilegi minimi di estrarre l'intero database clienti, inclusi dati personali e credenziali hashate.
Sommario
Identificata una vulnerabilità di tipo SQL Injection nel modulo di ricerca di BetaCRM v7.1 che consente l’estrazione massiva di dati sensibili dal database.
Dettagli tecnici
Il campo search_filter nel modulo di ricerca avanzata (/crm/search/advanced) accetta input utente che viene concatenato direttamente nella query SQL senza l’utilizzo di prepared statements.
Proof of Concept
-- Input nel campo search_filter:
' UNION SELECT username, password_hash, email, NULL FROM crm_users--
La query risultante espone tutte le credenziali utente del sistema.
Impatto
- Estrazione completa del database clienti (dati personali, contatti, storico)
- Dump delle credenziali utente (hash bcrypt)
- Possibile escalation tramite credential stuffing su altri sistemi
Timeline di disclosure
| Data | Evento |
|---|---|
| 2024-09-05 | Scoperta della vulnerabilità |
| 2024-09-07 | Notifica al vendor (PGP) |
| 2024-09-10 | Conferma dal vendor, inizio lavorazione |
| 2024-10-15 | Patch rilasciata (v7.1.4) |
| 2024-10-20 | Notifica ad ACN / CSIRT Italia |
| 2024-11-20 | Pubblicazione coordinata |
Remediation
Aggiornare BetaCRM alla versione 7.1.4. La patch introduce l’uso di prepared statements per tutte le query del modulo di ricerca.
Crediti
Scoperta da Marco Sala — disclosure coordinata con BetaSoft S.r.l. e ACN / CSIRT Italia.