CVE-2026-36340
Descripción de la Vulnerabilidad
CVE-2026-36340 es una vulnerabilidad crítica en el software Krayin CRM, que permite a un atacante remoto ejecutar código arbitrario mediante la función "componer correo electrónico". La falla fue identificada en la versión v.2.1.5 y fue corregida en la versión v.2.1.6.
La vulnerabilidad se origina en un error de validación en el procesamiento de correos electrónicos, lo que permite a un atacante aprovechar esta falla para inyectar código malicioso y comprometer el sistema.
Sistemas Afectados
La vulnerabilidad afecta a todas las instancias del Krayin CRM ejecutadas en la versión v.2.1.5 y versiones anteriores. La versión corregida, v.2.1.6, incluye parches para mitigar este riesgo.
Impacto y Explotabilidad
El CVSS Score de 8.1 (alto) refleja el impacto significativo de esta vulnerabilidad. Un atacante remoto puede explotarla sin necesidad de autenticación, lo que permite la ejecución de código arbitrario en el sistema afectado.
El vector de riesgo CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N indica que la vulnerabilidad no requiere interacción directa del usuario, lo que aumenta su potencial de explotación.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación y Parches
La solución más efectiva es actualizar el Krayin CRM a la versión v.2.1.6 o posterior, que incluye la corrección del fallo. En caso de no poder aplicar parches inmediatos, se recomienda:
- Monitorear actividades anómalas en el sistema, especialmente en funciones de correo electrónico.
- Limitar el acceso a cuentas con privilegios administrativos.
- Implementar controles de seguridad adicionales, como firewalls o sistemas de detección de amenazas.