Múltiples vulnerabilidades en RISE CRM Framework de Fairsketch
RISE CRM Framework, versiones anteriores a la 3.9
INCIBE ha coordinado la publicación de 6 vulnerabilidades de severidad media que afectan a RISE CRM Framework de Fairsketch, software similar a un CRM y gestor de proyectos. Las vulnerabilidades han sido descubiertas por Gonzalo Aguilar García (6h4ack).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- Desde CVE-2025-41101 hasta CVE-2025-41106: CVSS v4.0: 5.1 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N | CWE-79.
Las vulnerabilidades han sido solucionadas por el equipo de Fairsketch en la versión 3.9.
Vulnerabilidad de inyección de HTML que ha sido encontrada en RISE CRM Framework v3.8.1 de Fairsketch, la cual consiste en una inyección de código HTML debido a la falta de validación adecuada en las entradas del usuario mediante el envío de una petición POST. La relación de parámetros e identificadores asignados es la siguiente:
- CVE-2025-41101: parámetro 'title' en '/projects/save'.
- CVE-2025-41102: parámetro 'title' en '/events/save'.
- CVE-2025-41103: parámetro 'reply_message' en '/messages/reply'.
- CVE-2025-41104: parámetro 'custom_field_1' en '/estimate_requests/save_estimate_request'.
- CVE-2025-41105: parámetro 'title' en '/tickets/save'.
- CVE-2025-41106: parámetro 'first_name' en '/clients/save_contact/'.
