Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Zammad (CVE-2025-32359)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/04/2025
Última modificación:
15/04/2025

Descripción

En Zammad 6.4.x anterior a la 6.4.2, la seguridad del servidor se aplica en el lado del cliente. Al cambiar la configuración de autenticación de dos factores, los usuarios deben volver a autenticarse con su contraseña actual. Sin embargo, este cambio se aplicó en Zammad solo en el front-end, y no al usar la API directamente.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:zammad:zammad:*:*:*:*:*:*:*:* 6.4.0 (incluyendo) 6.4.2 (excluyendo)


Referencias a soluciones, herramientas e información