Vulnerabilidad en EspoCRM (CVE-2025-32385)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

16/04/2025

Última modificación:

16/04/2025

Descripción

EspoCRM es un software de código abierto para la gestión de relaciones con clientes. Antes de la versión 9.0.5, el dashlet de iframe permitía al usuario mostrar iframes con URL arbitrarias. Como el atributo de la sandbox no está incluido en el iframe, la página remota puede abrir ventanas emergentes fuera de él, lo que podría engañar a los usuarios y crear un riesgo de phishing. La URL del iframe está definida por el usuario, por lo que un atacante tendría que engañarlo para que especifique una URL maliciosa. La ausencia del atributo de la sandbox también permite que la página remota envíe mensajes al marco principal. Sin embargo, EspoCRM no utiliza estos mensajes. Esta vulnerabilidad se corrigió en la versión 9.0.5.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/espocrm/espocrm/security/advisories/GHSA-2rf2-mj98-2fr8