Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Control de acceso insuficiente en la gestión de sesiones de Sesame Time

Fecha de publicación 14/07/2026
Identificador
INCIBE-2026-487
Importancia
4 - Alta
Recursos Afectados

Los siguientes endopoints de la aplicación web Sesame Time están afectados:

  • api/v3/security/login (creación de USID);
  • /api/v3/security/me (exposición de datos según USID);
  • otros endpoints privados como /private/notification/v1/ (aceptan USID).
Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a la aplicación web de Sesame Time, un software de gestión de recursos humanos y control horario. La vulnerabilidad ha sido descubierta por Miguel Jiménez Cámara.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-15389: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-639
Solución

La vulnerabilidad ha sido solucionada por el equipo de Sesame Time en la última versión disponible.

La actualización incorpora mejoras en el mecanismo de autenticación y refuerza las validaciones de autorización en el servidor para garantizar que cada sesión únicamente pueda acceder a la información asociada al usuario autenticado.

Detalle

CVE-2026-15389: se ha identificado una vulnerabilidad de control de acceso insuficiente en la gestión de sesiones de la aplicación web de Sesame Time y su API REST v3. El fallo radica en que el sistema utiliza el identificador de sesión (USID) como único mecanismo de validación, sin verificar si dicho identificador pertenece legítimamente al usuario que realiza la petición. Como consecuencia, un atacante que obtenga un USID válido puede suplantar la sesión de una víctima y acceder a su información confidencial, incluyendo correos electrónicos, identificadores de usuario, roles y datos corporativos. Esta vulnerabilidad se ve agravada por una deficiente gestión del ciclo de vida de las sesiones: los nuevos inicios de sesión generan identificadores USID adicionales sin revocar los anteriores, lo que permite la coexistencia de múltiples sesiones activas y amplía la superficie de ataque.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-15389 Alta No Sesame
Listado de referencias