Vulnerabilidad en EspoCRM (CVE-2025-32789)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

16/04/2025

Última modificación:

17/04/2025

Descripción

EspoCRM es un software de gestión de relaciones con clientes de código abierto. Antes de la versión 9.0.7, los usuarios podían ordenarse por el hash de su contraseña. Esta falla permite a un atacante suponer los valores hash de otros usuarios almacenados en la columna de contraseñas de la tabla de usuarios, basándose en los resultados de la lista ordenada de usuarios. Aunque es improbable, si un atacante conoce el valor hash de su contraseña, puede cambiarla y repetir la ordenación hasta que se revele completamente el hash de la contraseña del otro usuario. Este problema se solucionó en la versión 9.0.7.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.10 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

3.10

Gravedad 3.x

BAJA

Vulnerabilidad en EspoCRM (CVE-2025-32789)

Descripción

Impacto

Referencias a soluciones, herramientas e información