Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Credenciales almacenadas en Redmine

Fecha de publicación 31/03/2026
Identificador
INCIBE-2026-245
Importancia
3 - Media
Recursos Afectados

Redmine todas las versiones anteriores a 6.0.7, 5.1.10 y 5.0.14.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta al formulario de acceso de Redmine, una aplicación web flexible para la gestión de proyectos desarrollada en Ruby. La vulnerabilidad ha sido descubierta por David Rubio Lora.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-1836: CVSS v4.0: 5.3 | CVSS AV:L/AC:L/AT:P/PR:L/UI:A/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-257
Solución

La vulnerabilidad ha sido solucionada por el equipo de Redmine en las versiones 6.0.7, 5.1.10 y 5.0.14.

Detalle

CVE-2026-1836: el sistema almacena el nombre de usuario y la contraseña del formulario de inicio de sesión después de remitir la solicitud. Esto podría permitir a un atacante con acceso a la plataforma poder volver al navegador y ver las credenciales de acceso.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-1836 Media No Redmine
Listado de referencias
Página web de Redmine
Etiquetas