El 15 de diciembre informamos a los clientes que deshabilitaran la integración de la base de datos SQL después del informe CVE ) Este problema, identificado por el investigador de seguridad independiente Theo Stein, se refería a una integración heredada para consultar los datos de contacto del cliente directamente desde una base de datos del servidor SQL.https://cve-2023-49954.github.io/ (2023-49954

En aras de la divulgación, publicaremos esta actualización hoy antes de la revisión de mañana. Continúe leyendo para obtener una explicación sobre el cronograma, una descripción técnica del problema y una solución propuesta.

Descripción técnica:

Si se ha utilizado una de las plantillas de integración (MsSQL, MySQL, PostgreSQL), pueden estar sujetas a ataques de inyección SQL si el servidor 3CX está disponible en Internet y no hay un firewall de aplicaciones web frente a la máquina 3CX. En ese caso, es posible manipular la consulta SQL original ejecutada en una base de datos.

Sólo las plantillas de bases de datos SQL mencionadas anteriormente se ven afectadas (MsSQL, MySQL, PostgreSQL) y ninguna de las otras plantillas de CRM web. Los clientes que utilizan MongoDB o cualquiera de nuestras plantillas de integración de CRM basadas en la web no se ven afectados por esto.

Acceso completo a el tutorial desde la web de 3CX, link directo.