Vulnerabilidad en EspoCRM (CVE-2025-32390)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
12/05/2025
Última modificación:
17/06/2025
Descripción
EspoCRM es una plataforma gratuita y de código abierto para la gestión de relaciones con clientes. Antes de la versión 9.0.8, la inyección de HTML en los artículos de la Base de Conocimiento (KB) provocaba una desfiguración completa de la página, imitando la página de inicio de sesión. Los usuarios autenticados con privilegios de lectura de artículos de la KB podían acceder a ellos y, si introducían sus credenciales, estas se capturaban en texto plano. Esta vulnerabilidad se debe a la excesiva permisividad de la edición de HTML en los artículos de la KB. Cualquier usuario autenticado con privilegios de lectura de artículos de la KB se ve afectado. En una empresa con múltiples aplicaciones, el artículo malicioso de la KB podría editarse para que coincida con las páginas de inicio de sesión de otras aplicaciones, lo que también lo haría útil para la recolección de credenciales contra otras aplicaciones. La versión 9.0.8 incluye un parche para este problema.
Impacto
Puntuación base 4.0
7.00
Gravedad 4.0
ALTA
Puntuación base 3.x
8.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:espocrm:espocrm:*:*:*:*:*:*:*:* | 9.0.8 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página