Plataforma
php
Componente
krayin/laravel-crm
Corregido en
2.0.1
2.1.1
2.2.1
2.2.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el componente krayin/laravel-crm, afectando a versiones hasta la 2.2.0. Esta vulnerabilidad reside en la función composeMail del archivo packages/Webkul/Admin/tests/e2e-pw/tests/mail/inbox.spec.ts dentro de los módulos Activities y Notes. La manipulación de datos puede llevar a la ejecución de scripts maliciosos en el navegador de un usuario.
Un atacante puede explotar esta vulnerabilidad para inyectar código JavaScript malicioso en la aplicación krayin/laravel-crm. Este código puede ser ejecutado en el contexto del usuario, permitiendo al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos, o modificar el contenido de la página web. La existencia de un Proof of Concept (PoC) público aumenta significativamente el riesgo de explotación, ya que facilita la tarea a los atacantes. La vulnerabilidad afecta directamente la seguridad de los datos sensibles y la integridad de la aplicación.
La vulnerabilidad CVE-2026-5370 se ha hecho pública el 2 de abril de 2026, y existe un PoC disponible, lo que indica una alta probabilidad de explotación. Aunque la CVSS score es LOW (3.5), la disponibilidad de un PoC público reduce la barrera de entrada para los atacantes. No se ha confirmado explotación activa en campañas conocidas, pero la vulnerabilidad debe ser tratada con urgencia.
Organizations using krayin/laravel-crm in their CRM systems, particularly those relying on the Activities Module or Notes Module, are at risk. Shared hosting environments where multiple applications share the same server resources are also at increased risk, as a compromised application could potentially impact other tenants.
• php: Examine application logs for unusual JavaScript execution patterns or error messages related to the Activities Module/Notes Module.
• generic web: Use curl or wget to test the composeMail endpoint with various payloads and observe the response for signs of script execution. curl -X POST -d 'alert("XSS")' <laravel-crm-url>/activities/notes/composeMail
disclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión parcheada de krayin/laravel-crm, que incluye la corrección (commit 73ed28d466bf14787fdb86a120c656a4af270153). Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Implementar una Web Application Firewall (WAF) con reglas para bloquear scripts sospechosos también puede ayudar a mitigar el riesgo. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs de la aplicación en busca de intentos de explotación.
Se recomienda aplicar el parche proporcionado por el proveedor (73ed28d466bf14787fdb86a120c656a4af270153) para corregir la vulnerabilidad de Cross-Site Scripting (XSS) en el módulo de Actividades/Notas de krayin laravel-crm. Alternativamente, se puede actualizar a una versión que incorpore esta corrección.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-5370 is an XSS vulnerability in krayin/laravel-crm versions up to 2.2.0, allowing attackers to inject malicious scripts. It impacts the composeMail function and has a LOW severity rating.
You are affected if you are using krayin/laravel-crm version 2.2.0 or earlier. Check your project dependencies to determine if you are using a vulnerable version.
Apply the provided patch (73ed28d466bf14787fdb86a120c656a4af270153) to upgrade your krayin/laravel-crm component to a patched version.
A public proof-of-concept exists, indicating a high likelihood of active exploitation. Prompt mitigation is recommended.
Refer to the krayin/laravel-crm repository or related security advisories for the official announcement and details regarding CVE-2026-5370.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.