A flaw has been found in CodeCanyon Perfex CRM up to 3.4.1. This vulnerability affects the function AbstractKanban::applySortQuery of the file application/services/AbstractKanban.php of the component Admin Kanban Endpoint. This manipulation of the argument this causes sql injection. It is possible to initiate the attack remotely. The exploit has been published and may be used.
Perfex CRM versions up to 3.4.1 contain a SQL injection vulnerability in the Admin Kanban Endpoint that allows remote attackers to manipulate database queries through the AbstractKanban::applySortQuery function. The vulnerability has been publicly disclosed and is actively exploitable.
ثغرة حقن SQL في وحدة Kanban الإدارية بنظام Perfex CRM تسمح للمهاجمين بتنفيذ استعلامات SQL عشوائية عن بعد. الثغرة موجودة في دالة applySortQuery بملف AbstractKanban.php وتؤثر على جميع الإصدارات حتى 3.4.1.
نظام Perfex CRM الإصدارات حتى 3.4.1 يحتوي على ثغرة حقن SQL في نقطة نهاية Admin Kanban تسمح للمهاجمين بالوصول عن بعد لمعالجة استعلامات قاعدة البيانات. تم الكشف عن الثغرة علنًا وقد تُستخدم في هجمات نشطة.
Immediately upgrade Perfex CRM to version 3.4.2 or later. If immediate patching is not possible, implement Web Application Firewall (WAF) rules to block malicious SQL injection patterns in Kanban endpoint requests and restrict access to admin endpoints through network segmentation.
قم بترقية Perfex CRM فوراً إلى الإصدار 3.4.2 أو أحدث. إذا لم يكن الترقية فوراً ممكناً، طبق قواعد جدار حماية تطبيقات الويب لحجب أنماط حقن SQL الضارة وقيد الوصول إلى نقاط النهاية الإدارية من خلال تقسيم الشبكة.