Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en EspoCRM (CVE-2025-32390)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-74 Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
12/05/2025
Última modificación:
17/06/2025

Descripción

EspoCRM es una plataforma gratuita y de código abierto para la gestión de relaciones con clientes. Antes de la versión 9.0.8, la inyección de HTML en los artículos de la Base de Conocimiento (KB) provocaba una desfiguración completa de la página, imitando la página de inicio de sesión. Los usuarios autenticados con privilegios de lectura de artículos de la KB podían acceder a ellos y, si introducían sus credenciales, estas se capturaban en texto plano. Esta vulnerabilidad se debe a la excesiva permisividad de la edición de HTML en los artículos de la KB. Cualquier usuario autenticado con privilegios de lectura de artículos de la KB se ve afectado. En una empresa con múltiples aplicaciones, el artículo malicioso de la KB podría editarse para que coincida con las páginas de inicio de sesión de otras aplicaciones, lo que también lo haría útil para la recolección de credenciales contra otras aplicaciones. La versión 9.0.8 incluye un parche para este problema.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:espocrm:espocrm:*:*:*:*:*:*:*:* 9.0.8 (excluyendo)