Múltiples vulnerabilidades en Perfex CRM
Perfex CRM, versión 3.2.1.
INCIBE ha coordinado la publicación de 6 vulnerabilidades de severidad media que afectan a Perfex CRM, un sistema de gestión de relaciones con clientes. Las vulnerabilidades han sido descubiertas por Gonzalo Aguilar García (6h4ack).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- Desde CVE-2025-10341 hasta CVE-2025-10346: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N | CWE-79.
Las vulnerabilidades han sido solucionadas por el equipo de Perfex CRM en la versión 3.4.0.
Vulnerabilidad de inyección HTML almacenada en Perfex CRM v3.2.1 que consiste en una inyección HTML almacenada debido a la falta de validación adecuada de las entradas del usuario mediante el envío de una solicitud POST. La relación de parámetros e identificadores asignados es la siguiente:
- CVE-2025-10341: parámetro 'company' en '/clients/client/x';
- CVE-2025-10342: parámetro 'name' en '/subscriptions/create';
- CVE-2025-10343: parámetro 'expense_name' en '/expenses/expense';
- CVE-2025-10344: parámetros 'name' y “clientid” en '/projects/project/x';
- CVE-2025-10345: parámetros 'name' y 'address' en '/admin/leads/lead';
- CVE-2025-10346: parámetro 'subject' en '/knowledge_base/article'.
