Cross-origin resource sharing (CORS) en Sintra de Hiberus
Sintra
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Sintra de Hiberus, un sistema de reservas. La vulnerabilidad ha sido descubierta por Manuel Gomez Argandoña.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-41010: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N. | CWE-942.
No hay solución reportada por el momento.
CVE-2025-41010: configuración incorrecta del intercambio de recursos entre orígenes (CORS) en Sintra de Hiberus. El intercambio de recursos entre orígenes (CORS) permite a los navegadores realizar solicitudes entre dominios de forma controlada. Esta solicitud tiene un encabezado 'Origin' que identifica el dominio que realiza la solicitud inicial y define el protocolo entre un navegador y un servidor para ver si la solicitud está permitida. Un atacante puede aprovechar esto y posiblemente llevar a cabo acciones privilegiadas y acceder a información confidencial cuando está habilitado Access-Control-Allow-Credentials.
