De makers van SugarCRM zijn druk bezig de kwetsbaarheden te analyseren die een Italiaan afgelopen zondag op zijn blog publiceerde. In zijn blog heeft Egidio Romano een aantal beveiligingsproblemen in SugarCRM gepubliceerd. Zo beschrijft hij onder meer een PHP Object Injection-mogelijkheid, blind sql-injections en een XSS- kwetsbaarheid. Romano publiceerde de kwetsbaarheden naar eigen zeggen deels uit frustratie omdat de organisatie volgens hem niet adequaat genoeg reageerde op zijn bevindingen.

SugarCRM heeft maandag gereageerd op de publicatie. De beschreven problemen hebben volgens hen betrekking op het gratis open-source pakket Sugar CE (Community Edition). Wel zegt Rich Green, SugarCRM's chief product officer, dat een deel van de code van Sugar CE ook terugkomt in de nieuwste versie Sugar 7.9 die binnenkort uitkomt.

"SugarCRM neemt product- en IT-beveiliging heel serieus en heeft bovendien een lange en goede samenwerking met de security-gemeenschap", reageert SugarCRM-woordvoerder Andrew Staples tegenover Security.nl. "Die samenwerking heeft ons enorm geholpen om ons product te verbeteren."

Het securityteam van SugarCRM is nu alle punten aan het onderzoeken die de Italiaan heeft beschreven. Veel van de genoemde problemen zouden echter al bekend of inmiddels verholpen zijn in het commerciële product. Green zegt de klanten en partners uitgebreid op de hoogte te houden en belooft het SugarCRM Blog doorlopend te voorzien van updates omtrent dit issue.