Vulnerabilidad en Admidio (CVE-2026-32755)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

19/03/2026

Última modificación:

23/03/2026

Descripción

Admidio es una solución de gestión de usuarios de código abierto. En las versiones 5.0.6 e inferiores, la acción save_membership en modules/profile/profile_function.php guarda los cambios en las fechas de inicio y fin de la membresía de rol de un miembro, pero no valida el token CSRF. El gestor comprueba stop_membership y remove_former_membership contra el token CSRF, pero omite save_membership de esa comprobación. Debido a que los UUID de membresía aparecen en el código fuente HTML visible para los usuarios autenticados, un atacante puede incrustar un formulario POST manipulado en cualquier página externa y engañar a un líder de rol para que lo envíe, alterando silenciosamente las fechas de membresía para cualquier miembro de los roles que la víctima lidera. La sesión de un líder de rol puede ser explotada silenciosamente a través de CSRF para manipular las fechas de membresía de cualquier miembro, terminando el acceso al retroceder la fecha, extendiendo encubiertamente el acceso no autorizado o revocando características restringidas por rol, todo sin confirmación, notificación o aprobación administrativa. Este problema ha sido solucionado en la versión 5.0.7.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.70 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno