Inyección SQL en MegaCMS de CRM Sistemas de Fidelización
MegaCMS en la versión 12.0.0.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta a MegaCMS de CRM Sistemas de Fidelización, software para la gestión de sistema de reservas, ticketing, venta online, etc. La vulnerabilidad ha sido descubierta por Miguel Ovejero (Lapsor).
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-3325: CVSS v4.0: 10 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:L | CWE-89
Actualizar a la última versión disponible.
CVE-2026-3325: Inyección SQL (SQLi) en MegaCMS v12.0.0, concretamente, en el parámetro 'id_territorio' del endpoint '/web_comunications/cms/get_provincias'. La vulnerabilidad se produce por una validación y depuración inadecuadas de la entrada del usuario. En concreto, mediante una solicitud POST, el parámetro 'id_territorio', utilizado inmediatamente después del envío del formulario de registro, podría ser manipulado por un atacante no autenticado para ejecutar consultas SQL arbitrarias.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-3325 | Crítica | No | CRM Sistemas de Fidelización |
