Plataforma
php
Componente
worksuite-hr-crm-and-project-management
Corregido en
5.5.1
5.5.2
5.5.3
5.5.4
5.5.5
5.5.6
5.5.7
5.5.8
5.5.9
5.5.10
5.5.11
5.5.12
5.5.13
5.5.14
5.5.15
5.5.16
5.5.17
5.5.18
5.5.19
5.5.20
5.5.21
5.5.22
5.5.23
5.5.24
5.5.25
5.5.26
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Worksuite HR, CRM y Project Management, afectando a las versiones desde 5.5.0 hasta 5.5.25. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en la función desconocida del archivo /account/orders/create, específicamente en el manejo del argumento 'Client Note'.
Un atacante puede explotar esta vulnerabilidad XSS para ejecutar código JavaScript arbitrario en el navegador de un usuario legítimo que visite la aplicación Worksuite. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información sensible almacenada en la aplicación. El impacto se amplifica si la aplicación se utiliza para gestionar información confidencial de empleados o clientes, ya que un atacante podría obtener acceso a datos personales, financieros o de propiedad intelectual. La naturaleza remota de la explotación facilita la propagación del ataque a un gran número de usuarios.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La disponibilidad de la información sobre la vulnerabilidad facilita la creación y distribución de pruebas de concepto (PoC).
Organizations utilizing Worksuite HR, CRM and Project Management versions 5.5.0 through 5.5.25 are at risk. This includes businesses of all sizes that rely on this software for managing human resources, customer relationships, and project workflows. Shared hosting environments where multiple users share the same instance of the software are particularly vulnerable, as an attacker could potentially compromise the entire environment through a single vulnerable application.
• generic web:
curl -s -X POST "http://<target>/account/orders/create" -d "Client Note=<script>alert('XSS')</script>" | grep "alert('XSS')"• generic web:
curl -s -X GET "http://<target>/account/orders/create?Client Note=<script>alert('XSS')</script>" | grep "alert('XSS')"disclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Worksuite HR, CRM y Project Management a una versión corregida que solucione esta vulnerabilidad. Mientras tanto, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas de usuario, especialmente el campo 'Client Note'. Implementar una política de seguridad de contenido (CSP) puede ayudar a restringir las fuentes de scripts que se pueden ejecutar en la aplicación. Además, se debe monitorear los registros de la aplicación en busca de patrones sospechosos de inyección de scripts.
Actualice Worksuite HR, CRM y Gestión de Proyectos a una versión posterior a la 5.5.25. Esto solucionará la vulnerabilidad de cross-site scripting en el componente afectado.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4165 is a cross-site scripting (XSS) vulnerability in Worksuite HR, CRM and Project Management versions 5.5.0–5.5.25, allowing attackers to inject malicious scripts.
You are affected if you are using Worksuite HR, CRM and Project Management versions 5.5.0 through 5.5.25.
Upgrade to a patched version of Worksuite HR, CRM and Project Management. Implement input validation as a temporary workaround.
CVE-2026-4165 has been publicly disclosed, increasing the likelihood of exploitation. Active exploitation has not been confirmed.
Refer to the Worksuite HR, CRM and Project Management official website or security advisory channels for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.