Múltiples vulnerabilidades en Perfex CRM
Perfex CRM, versión 3.2.1.
INCIBE ha coordinado la publicación de 6 vulnerabilidades de severidad media que afectan a Perfex CRM de Perfex CRM, un sistema de gestión de relaciones con clientes. Las vulnerabilidades han sido descubiertas por Gonzalo Aguilar García (6h4ack).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- Desde CVE-2025-10341 hasta CVE-2025-10346: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N | CWE-79.
Las vulnerabilidades han sido solucionadas por el equipo dePerfex CRM en la versión 3.4.0.
Vulnerabilidad de inyección HTML almacenada en Perfex CRM v3.2.1 que consiste en una inyección HTML almacenada debido a la falta de validación adecuada de las entradas del usuario mediante el envío de una solicitud POST. La relación de parámetros e identificadores asignados es la siguiente:
- CVE-2025-10341: parámetro ‘company‘ en ‘/clients/client/x‘;
- CVE-2025-10342: parámetro ‘name’ en ‘/subscriptions/create’;
- CVE-2025-10343: parámetro ‘expense_name’ en ‘/expenses/expense’;
- CVE-2025-10344: parámetros ‘name’ y “clientid” en ‘/projects/project/x’;
- CVE-2025-10345: parámetros ‘name’ y ‘address’ en ‘/admin/leads/lead’;
- CVE-2025-10346: parámetro ‘subject‘ en ‘/knowledge_base/article’.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.