CVE-2025-32385

Nome do Software Vulnerável e Versões Afetadas Versões do EspoCRM anteriores à 9.0.5

Descrição O problema refere-se ao dashlet Iframe no EspoCRM, que permite aos usuários exibir iframes com URLs arbitrárias. Como o atributo sandbox não está incluído no iframe, uma página remota pode abrir popups fora do iframe, potencialmente enganando os usuários e criando um risco de phishing. A URL do iframe é definida pelo usuário, portanto, um atacante precisaria induzir o usuário a especificar uma URL maliciosa. A ausência do atributo sandbox também permite que a página remota envie mensagens para o frame pai, embora o EspoCRM não utilize essas mensagens.

Recomendações Para resolver o problema, atualize para a versão 9.0.5 ou posterior. Como solução alternativa temporária, considere restringir o uso do dashlet Iframe para minimizar o risco de exploração. Evite usar o dashlet Iframe com URLs não confiáveis até que o problema seja resolvido.