Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en RISE CRM Framework de Fairsketch

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en RISE CRM Framework de Fairsketch

Aviso
Recursos Afectados

RISE CRM Framework, versiones anteriores a la 3.9

Descripción

INCIBE ha coordinado la publicación de 6 vulnerabilidades de severidad media que afectan a RISE CRM Framework de Fairsketch, software similar a un CRM y gestor de proyectos. Las vulnerabilidades han sido descubiertas por Gonzalo Aguilar García (6h4ack).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • Desde CVE-2025-41101 hasta CVE-2025-41106: CVSS v4.0: 5.1 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N | CWE-79.
Identificador
INCIBE-2025-0626

3 – Media
Solución

Las vulnerabilidades han sido solucionadas por el equipo de Fairsketch en la versión 3.9.

Detalle

Vulnerabilidad de inyección de HTML que ha sido encontrada en RISE CRM Framework v3.8.1 de Fairsketch, la cual consiste en una inyección de código HTML debido a la falta de validación adecuada en las entradas del usuario mediante el envío de una petición POST. La relación de parámetros e identificadores asignados es la siguiente:

  • CVE-2025-41101: parámetro ‘title‘ en ‘/projects/save‘.
  • CVE-2025-41102: parámetro ‘title‘ en ‘/events/save‘.
  • CVE-2025-41103: parámetro ‘reply_message‘ en ‘/messages/reply‘.
  • CVE-2025-41104: parámetro ‘custom_field_1‘ en ‘/estimate_requests/save_estimate_request‘.
  • CVE-2025-41105: parámetro ‘title‘ en ‘/tickets/save‘.
  • CVE-2025-41106: parámetro ‘first_name‘ en ‘/clients/save_contact/‘.
Listado de referencias
Fairsketch

CVE
Explotación
No

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.