Múltiples vulnerabilidades en Hospital Manager Backend Services de Vertikal Systems
Fecha de publicación 29/10/2025
Identificador
INCIBE-2025-0597
Importancia
4 - Alta
Recursos Afectados
Hospital Manager Backend Services: versiones anteriores al 19 de septiembre de 2025.
Descripción
Pundhapat Sichamnong ha informado sobre dos vulnerabilidades de severidad alta que podrían permitir a a un atacante obtener acceso no autorizado a información confidencial y divulgarla.
Solución
Vertikal Systems solucionó estas vulnerabilidades antes del 19 de septiembre de 2025. Para obtener más información, los usuarios deben ponerse en contacto con el soporte de Vertikal Systems para obtener ayuda.
Detalle
- CVE-2025-54459: los servicios de backend del administrador del hospital tenían expuesto el punto de conexión de seguimiento de 'ASP.NET /trace.axd' sin autenticación, lo que permitía a un atacante remoto obtener seguimientos de solicitudes en vivo e información confidencial como metadatos de solicitudes, identificadores de sesión, encabezados de autorización, variables del servidor y rutas de archivos internas.
- CVE-2025-61959: los servicios de backend del administrador del hospital devolvían páginas de error ASP.NET detalladas para solicitudes 'WebResource.axd' no válidas, revelando información sobre la versión del framework y de ASP.NET, seguimientos de pila, rutas internas y la configuración insegura 'customErrors mode="Off"', lo que podría haber facilitado el reconocimiento por parte de atacantes no autenticados.
CVE
Explotación
No
Nuevo Fabricante
Vertikal Systems
Identificador CVE
CVE-2025-54459
Severidad
Alta
Explotación
No
Nuevo Fabricante
Vertikal Systems
Identificador CVE
CVE-2025-61959
Severidad
Alta
Listado de referencias
