🧩 “SuiteCRM เจอช่องโหว่ SQL Injection ดึงข้อมูลลูกค้าได้แม้ไม่ใช่แอดมิน!” SuiteCRM ซึ่งเป็นระบบ CRM แบบโอเพ่นซอร์สยอดนิยม ถูกเปิดเผยว่ามีช่องโหว่ SQL Injection 2 รายการ ได้แก่ CVE-2025-64492 และ CVE-2025-64493 โดยช่องโหว่เหล่านี้เปิดทางให้ผู้ใช้ที่ล็อกอินแล้วสามารถดึงข้อมูลจากฐานข้อมูลได้โดยไม่ต้องมีสิทธิ์ระดับแอดมิน ช่องโหว่ CVE-2025-64492 เป็นแบบ time-based blind SQL injection ซึ่งสามารถใช้วัดเวลาตอบสนองเพื่อดึงข้อมูลจากฐานข้อมูลได้ ส่วน CVE-2025-64493 เกิดใน GraphQL API โดยเฉพาะในฟังก์ชัน appMetadata ซึ่งไม่กรองข้อมูลอินพุตอย่างเหมาะสม ✅ รายละเอียดช่องโหว่ CVE-2025-64492 ➡️ เป็น blind SQL injection แบบ time-based ➡️ ผู้ใช้ที่ล็อกอินสามารถวัดเวลาตอบสนองเพื่อดึงข้อมูลจากฐานข้อมูล ➡️ อาจนำไปสู่การดึงข้อมูล เช่น รหัสผ่านที่ถูกแฮช ข้อมูลลูกค้า และข้อมูลสำคัญทางธุรกิจ ✅ รายละเอียดช่องโหว่ CVE-2025-64493 ➡️ เกิดใน GraphQL API โดยเฉพาะใน appMetadata operation ➡️ ไม่ต้องใช้สิทธิ์ระดับแอดมิน — ผู้ใช้ทั่วไปก็สามารถโจมตีได้ ➡️ ขยายพื้นผิวการโจมตีให้กว้างขึ้นในองค์กรที่ใช้ GraphQL ✅ เวอร์ชันที่ได้รับผลกระทบ ➡️ SuiteCRM เวอร์ชัน ≤ 8.9.0 ได้รับผลกระทบจากทั้งสองช่องโหว่ ➡️ ช่องโหว่ CVE-2025-64493 พบในเวอร์ชัน 8.6.0 ถึง 8.8.0 ✅ การแก้ไข ➡️ ช่องโหว่ทั้งสองถูกแก้ไขใน SuiteCRM เวอร์ชัน 8.9.1 ➡️ ผู้ดูแลระบบควรอัปเดตทันทีเพื่อป้องกันการโจมตี ‼️ คำเตือนด้านความปลอดภัย ⛔ ช่องโหว่นี้สามารถถูกใช้โดยผู้ใช้ที่มีบัญชีอยู่แล้ว เช่น พนักงานที่มีเจตนาไม่ดี ⛔ การไม่อัปเดตเวอร์ชันทำให้ข้อมูลลูกค้าและธุรกิจเสี่ยงต่อการรั่วไหล ⛔ การใช้ GraphQL โดยไม่มีการกรองอินพุตอย่างเข้มงวดเป็นช่องทางโจมตีที่อันตราย https://securityonline.info/suitecrm-sql-injection-flaws-cve-2025-64492-cve-2025-64493-expose-customer-data/