Control de acceso inadecuado en microCLAUDIA
- microCLAUDIA, versiones 3.2.0 o anteriores.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a la herramienta microCLAUDIA del CCN-CERT, un sistema basado en el motor de CLAUDIA que proporciona protección contra código dañino de tipo ransomware a los equipos de un organismo, la cual ha sido descubierta por Alejandro Vázquez Vázquez.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-41090: CVSS v4.0: 7.6 | CVSS AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N | CWE-284
La vulnerabilidad reportada ha sido resuelta por el equipo del CCN-CERT en 2024, en la versión 3.2.2.
CVE-2025-41090: Las versiones 3.2.0 y anteriores de microCLAUDIA presentan una vulnerabilidad de control de acceso inadecuado.
Este fallo permite que un usuario autenticado realice acciones no autorizadas en sistemas de otras organizaciones, mediante el envío directo de solicitudes a la API. Para ello, puede utilizar identificadores de organización obtenidos a través de un endpoint comprometido o deducidos manualmente.
Esta vulnerabilidad permite el acceso entre instancias (tenants), con lo que un atacante podría listar y gestionar activos remotos, desinstalar agentes e incluso eliminar configuraciones de vacunas.
