Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Cifrado débil en el servidor en la nube de Funambol

Fecha de publicación 28/01/2026
Identificador
INCIBE-2026-062
Importancia
3 - Media
Recursos Afectados

Cloud Server, versión 30.0.0.20.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta al servidor en la nube de Funambol, una plataforma de sincronización y servicios móviles. La vulnerabilidad ha sido descubierta por David Herrero de la Peña y David Gomez Oliva.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-41351: CVSS v4.0: 6.0 | CVSS AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-649
Solución

Funambol ha corregido la vulnerabilidad en la versión v31.0.0.0.

Detalle

CVE-2025-41351: vulnerabilidad que permite realizar un Padding Oracle Attack en el servidor en la nube de Funambol v30.0.0.20. La URL de visualización de miniaturas permite a un atacante descifrar y cifrar los parámetros utilizados por la aplicación para generar las URL de acceso ‘autofirmadas’.

CVE
Explotación
No
Nuevo Fabricante
Funambol
Identificador CVE
CVE-2025-41351
Severidad
Media
Listado de referencias
Funambol
Etiquetas