SuiteCRM là một nền tảng quản lý quan hệ khách hàng (CRM) mã nguồn mở, được phát triển dựa trên SugarCRM, cung cấp đầy đủ các chức năng quản lý khách hàng, bán hàng, marketing và hỗ trợ dịch vụ. Nhờ khả năng tùy biến linh hoạt, chi phí triển khai hợp lý và cộng đồng hỗ trợ rộng, SuiteCRM được nhiều doanh nghiệp vừa và nhỏ tại Việt Nam lựa chọn, đặc biệt trong các lĩnh vực thương mại, dịch vụ và công nghệ thông tin. Tuy nhiên, việc lưu trữ tập trung lượng lớn dữ liệu khách hàng cũng khiến nền tảng này trở thành mục tiêu hấp dẫn của các cuộc tấn công mạng.
Mới đây, SuiteCRM đã phát đi cảnh báo khẩn sau khi phát hiện hai lỗ hổng SQL injection nghiêm trọng tồn tại trong các phiên bản cũ của hệ thống. Hai lỗ hổng này có thể cho phép kẻ tấn công đã xác thực khai thác để trích xuất dữ liệu nhạy cảm trực tiếp từ cơ sở dữ liệu, gây rủi ro lớn cho thông tin khách hàng và hoạt động kinh doanh của doanh nghiệp.
Lỗ hổng đầu tiên, CVE-2025-64492, được đánh giá mức độ nghiêm trọng cao với điểm CVSS 8.8. Đây là dạng time-based blind SQL injection, trong đó kẻ tấn công lợi dụng độ trễ phản hồi của hệ thống để suy luận và từng bước rút trích dữ liệu. Nếu khai thác thành công, đối tượng có thể liệt kê cấu trúc cơ sở dữ liệu, bảng, cột và thu thập các thông tin nhạy cảm như mật khẩu đã băm hoặc dữ liệu khách hàng. Lỗ hổng này yêu cầu tài khoản đã xác thực, do đó nguy cơ chủ yếu đến từ các tài khoản bị chiếm quyền hoặc hành vi nội bộ có chủ đích.
Lỗ hổng thứ hai, CVE-2025-64493, tồn tại trong thao tác appMetadata của API GraphQL trên các phiên bản SuiteCRM từ 8.6.0 đến 8.8.0. Điểm đáng lo ngại là lỗ hổng này không yêu cầu quyền quản trị, nghĩa là bất kỳ người dùng đã đăng nhập nào cũng có thể bị lợi dụng để thực hiện tấn công. Tương tự CVE-2025-64492, đây cũng là một dạng SQL injection mù dựa trên thời gian, cho phép rút trích dữ liệu mà không để lại dấu hiệu rõ ràng ngay lập tức.
SuiteCRM đã phát hành bản vá cho cả hai lỗ hổng trong phiên bản 8.9.1 và khuyến nghị tất cả người dùng nâng cấp ngay để loại bỏ nguy cơ bị khai thác. Ngoài việc cập nhật phần mềm, các chuyên gia an ninh cũng đề xuất doanh nghiệp áp dụng các biện pháp bổ sung như bật xác thực đa yếu tố, hạn chế truy cập API GraphQL qua mạng nội bộ hoặc VPN, triển khai tường lửa ứng dụng web và tăng cường giám sát nhật ký truy vấn, đăng nhập. Trong bối cảnh các nền tảng CRM ngày càng bị tin tặc nhắm đến, việc chủ động vá lỗi và siết chặt kiểm soát bảo mật là yếu tố then chốt để bảo vệ dữ liệu và uy tín doanh nghiệp.
