CVE-2025-32390

Nome do Software Vulnerável e Versões Afetadas Versões do EspoCRM anteriores à 9.0.8

Descrição A falha permite Injeção de HTML em artigos da Base de Conhecimento (KB), levando à desfiguração completa da página, que pode imitar a página de login. Usuários autenticados com o privilégio de leitura de artigos de conhecimento podem ser afetados e, se submeterem suas credenciais, estas serão capturadas em texto plano. Isso se deve à edição de HTML excessivamente permissiva permitida nos artigos da KB. Em um ambiente corporativo, a vulnerabilidade poderia ser explorada para coletar credenciais de outras aplicações, fazendo com que o artigo malicioso da KB se assemelhe às páginas de login dessas aplicações.

Recomendações Para versões anteriores à 9.0.8, atualize para a versão 9.0.8 para resolver a falha. Como medida paliativa temporária, considere restringir o acesso à edição de artigos da KB para prevenir modificações maliciosas. Adicionalmente, oriente os usuários a terem cautela ao submeter credenciais em páginas que se assemelham à página de login, mas que são acessadas por meio de artigos da KB.