Acceso no protegido a partes de la aplicación en Epsilon RH de Grupo Castilla
Epsilon RH, versiones anteriores a la 3.03.36.0186.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Epsilon RH de Grupo Castilla, programa para digitalizar y automatizar todos los procesos del departamento de gestión de personas. La vulnerabilidad ha sido descubierta por Oscar Atienza.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-12461: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-522
La vulnerabilidad ha sido solucionada por el equipo de Grupo Castilla en la versión 3.03.36.0186.
CVE-2025-12461: la vulnerabilidad permite a un atacante acceder a partes de la aplicación que carecen de control de acceso. Si el atacante accede a la ruta web ‘…/epsilonnet/License/About.aspx’ puede obtener información de la licencia: versión del producto y módulos instalados.
