Múltiples vulnerabilidades en EspoCRM

Fecha de publicación 10/11/2023
Importancia
5 - Crítica
Recursos Afectados

EspoCRM, versiones iguales o anteriores a 7.5.2.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a EspoCRM, las cuales han sido descubiertas por Pedro José Navas Pérez de Hispasec.

A ambas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2023-5965 y CVE-2023-5966: CVSS v3.1: 9.1 | CVSS: AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CWE-434.
Solución

Los usuarios con perfil administrador pueden cargar extensiones y actualizaciones por diseño, dado que es una funcionalidad que la mayoría de los usuarios utilizan y solicitan. Es posible restringir la explotación de la vulnerabilidad activando la opción "restrictedMode" en el menú de configuración.

Detalle
  • CVE-2023-5965 y CVE-2023-5966: un atacante privilegiado autenticado podría cargar un zip especialmente diseñado en el servidor de EspoCRM en su versión 7.2.5, a través del formulario de actualización y del formulario de despliegue de extensiones respectivamente, que podría conducir a la ejecución de código PHP arbitrario.
Listado de referencias