Falta la encriptación de datos sensibles en CapillaryScope
CapillaryScope, versiones anteriores a 2.5.0.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media, que afecta a CapillaryScope de Capillary io, una herramienta para analizar automáticamente imágenes de capilaroscopia. La vulnerabilidad ha sido descubierta por Ismael Melchor Juan y Pedro José Navas Pérez.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-40680: CVSS v4.0: 6.9 | CVSS AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N | CWE-311
La vulnerabilidad ha sido solucionada por el equipo de Capillary io en la versión 2.5.1.
CVE-2025-40680: falta de cifrado de datos sensibles en CapillaryScope v2.5.0 de Capillary io, que almacena tanto las credenciales de proxy y el token de sesión JWT en texto plano dentro de diferentes claves de registro en el sistema operativo Windows. Cualquier usuario local autenticado con acceso de lectura al registro puede extraer estos valores sensibles.