Plataforma
php
Componente
vulnerability-research
Corregido en
3.2.2
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el módulo Project Discussions de Perfex CRM, afectando a las versiones 3.2.1. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La versión 3.2.2 corrige esta vulnerabilidad. Se recomienda actualizar inmediatamente.
La vulnerabilidad XSS en Perfex CRM permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario legítimo. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de inicio de sesión de un administrador, permitiéndole acceder a información sensible y realizar acciones no autorizadas dentro del sistema CRM. El alcance del impacto depende de los privilegios del usuario afectado y de la sensibilidad de los datos almacenados en Perfex CRM.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la CVSS score es baja (3.5), la facilidad de explotación y el potencial impacto hacen que sea importante abordar esta vulnerabilidad de manera oportuna. No se ha reportado explotación activa a la fecha de publicación, pero la disponibilidad de la información sobre la vulnerabilidad aumenta la probabilidad de que sea explotada en el futuro. La vulnerabilidad fue publicada el 4 de abril de 2025.
Organizations using Perfex CRM version 3.2.1, particularly those handling sensitive client data or financial information, are at significant risk. Shared hosting environments where multiple clients share the same CRM instance are also particularly vulnerable, as a compromise of one client's account could potentially affect others.
• php / web: Examine project discussion pages for unusual JavaScript behavior. Use browser developer tools to inspect the source code and identify any injected scripts.
• generic web: Use curl/wget to test the /perfex/clients/project/2 endpoint with a simple XSS payload (e.g., <script>alert('XSS')</script>). Check the response for the alert box.
• generic web: Review access and error logs for suspicious requests targeting the /perfex/clients/project/2 endpoint.
• generic web: Check response headers for Content-Security-Policy (CSP) directives that might mitigate XSS attacks.
disclosure
Estado del Exploit
EPSS
0.15% (35% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-3219 es actualizar Perfex CRM a la versión 3.2.2 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el módulo Project Discussions. Implementar una Web Application Firewall (WAF) con reglas para bloquear scripts sospechosos también puede ayudar a mitigar el riesgo. Monitorear los logs de la aplicación en busca de patrones de inyección de scripts puede ayudar a detectar ataques en curso.
Actualice Perfex CRM a una versión posterior a 3.2.1 que incluya la corrección para la vulnerabilidad XSS en el módulo Project Discussions. Consulte el registro de cambios de Perfex CRM o las notas de la versión para obtener más detalles sobre la actualización y la corrección específica. Si no hay una versión corregida disponible, considere deshabilitar el módulo Project Discussions hasta que se publique una actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-3219 is a cross-site scripting (XSS) vulnerability affecting Perfex CRM versions 3.2.1–3.2.1, allowing attackers to inject malicious scripts.
If you are using Perfex CRM version 3.2.1, you are vulnerable to this XSS attack. Upgrade to 3.2.2 or later to mitigate the risk.
Upgrade Perfex CRM to version 3.2.2 or later. As a temporary workaround, implement input validation and output encoding on the 'description' field.
While no active campaigns have been confirmed, the vulnerability is publicly disclosed, increasing the risk of exploitation.
Refer to the official Perfex CRM website and security advisories for the latest information and updates regarding CVE-2025-3219.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.