Múltiples vulnerabilidades en winCRM
Las siguientes versiones de winCRM están afectadas:
- versiones web: https://www.wincrm.eu/
- versiones de escritorio: wincrm.exe y winsat.exe.
INCIBE ha coordinado la publicación de 14 vulnerabilidades: 2 de severidad crítica, 10 de severidad alta y 2 de severidad media, que afectan a la aplicación de winCRM, un software de gestión comercial de Clientes. Las vulnerabilidades han sido descubiertas por Alejandro Amorín Niño, Cosme Vázquez Tomé.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-59906 y CVE-2025-59907: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-798
- De CVE-2025-59908 a CVE-2025-59917: CVSS v4.0: 7.0 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-284
- CVE-2025-59918 y CVE-2025-59919: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:H/UI:R/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N | CWE-79
Las vulnerabilidades han sido solucionadas por el equipo de winCRM tanto en la versión online como en la versión para Windows en la última versión disponible.
El 11/12/2025 se sustituyó al 100% la versión anterior de winCRM online por la nueva versión totalmente reprogramada, con una tecnología y arquitectura mejorada en cuanto a la seguridad.
- Credenciales hardcodeadas en un el fichero ejecutable Se pueden extraer con la herramienta “Strings.exe” y podrían permitir a un atacante acceso no autorizado a BBDD así como al servidor SMTP.
- CVE-2025-59906: 'winCRM.exe'.
- CVE-2025-59907: 'winSAT.exe'.
- Vulnerabilidad que consiste en un Insecure Direct Object Reference (IDOR). La explotación de esta vulnerabilidad permite a un usuario visualizar el nombre de los clientes de otros usuarios/empresas de la plataforma iterando sobre el valor numérico que identifica al cliente en la URL:
- CVE-2025-59908: parámetro 'idCliente' en '/Gestion/DocumentosCrear/'.
- CVE-2025-59909: parámetro 'ClientesCamposAdicionales' en '/Clientes/ClientesCamposAdicionales/'.
- CVE-2025-59910: parámetro 'ClientesClasificaciones' en '/Clientes/ClientesClasificaciones/'.
- CVE-2025-59911: parámetro 'TareasCrear' en '/Tareas/TareasCrear/'.
- CVE-2025-59912: parámetro 'ClientesEventos' en '/Clientes/ClientesEventos/'.
- CVE-2025-59913: parámetro 'ClientesOportunidades' en '/Clientes/ClientesOportunidades/'.
- CVE-2025-59914: parámetro 'EstadosEventosEditar' en '/Eventos/EstadosEventosEditar'.
- CVE-2025-59915: parámetro 'ObtenerEstadosDoc' en '/Gestion/ObtenerEstadosDoc'.
- CVE-2025-59916: parámetro 'DocumentosAnadirLineas' en '/Gestion/DocumentosAnadirLineas/'.
- CVE-2025-59917: parámetro 'DocumentosOpcionesImprimir' en '/Gestion/DocumentosOpcionesImprimir/'.
- Cross-Site Scripting (XSS) almacenado en winCRM. La explotación de esta vulnerabilidad podría permitir a un usuario remoto enviar una URL especialmente diseñada a la víctima y robar sus datos de sesión al permitir inyectar código JavaScript. La relación entre la asignación de parámetro e identificadores es la siguiente:
- CVE-2025-59918: parámetro 'Tarea' en '/Tareas/TareasCrear?ddv=cal'.
- CVE-2025-59919: parámetros 'Nombre' y 'Observaciones' en '/Clientes/ClientesCrear?ddv=cal'.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2025-59906 | Crítica | No | winCRM |
| CVE-2025-59907 | Crítica | No | winCRM |
| CVE-2025-59908 | Alta | No | winCRM |
| CVE-2025-59909 | Alta | No | winCRM |
| CVE-2025-59910 | Alta | No | winCRM |
| CVE-2025-59911 | Alta | No | winCRM |
| CVE-2025-59912 | Alta | No | winCRM |
| CVE-2025-59913 | Alta | No | winCRM |
| CVE-2025-59914 | Alta | No | winCRM |
| CVE-2025-59915 | Alta | No | winCRM |
| CVE-2025-59916 | Alta | No | winCRM |
| CVE-2025-59917 | Alta | No | winCRM |
| CVE-2025-59918 | Media | No | winCRM |
| CVE-2025-59919 | Media | No | winCRM |
