Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Inyección SQL fuera de banda en Evaluación de Desempeño de Quatuor

Fecha de publicación 27/01/2026
Identificador
INCIBE-2026-058
Importancia
5 - Crítica
Recursos Afectados

Evaluación de Desempeño (EDD).

Descripción

INCIBE ha coordinado la publicación de 12 vulnerabilidades de severidad crítica, que afectan a la Evaluación de Desempeño de Quatuor, herramienta de evaluación para empresas. Las vulnerabilidades han sido descubiertas por Óscar Atienza Vendrell.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • de CVE-2026-1472 a CVE-2026-1483: CVSS v4.0: 9.3 | CVSS:4.0 AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N | CWE-89
Solución

Las vulnerabilidades han sido resueltas en la última versión del aplicativo, lanzada el 12 de noviembre de 2025, y ya no son explotables.

Detalle

Se ha detectado una vulnerabilidad de inyección SQL fuera de banda (OOB SQLi) en el aplicativo Evaluación de Desempeño (EDD) de la empresa Gabinete Técnico de Programación.

La explotación de esta vulnerabilidad podría permitir a un atacante extraer información sensible de la base de datos mediante canales externos, sin que la aplicación afectada devuelva los datos directamente, comprometiendo la confidencialidad de la información almacenada.

La relación de parámetros e identificadores asignados es la siguiente:

  • CVE-2026-1472: parámetro 'txAny' en '/evaluacion_competencias_autoeval_list.aspx';
  • CVE-2026-1473: parámetro 'Id_usuario’ en '/evaluacion_competencias_evalua.aspx';
  • CVE-2026-1474: parámetros 'Id_usuario' e 'Id_evaluacion' en ‘/evaluacion_inicio.aspx’;
  • CVE-2026-1475: parámetro ‘Id_usuario' en ‘/evaluacion_acciones_evalua.aspx’;
  • CVE-2026-1476: parámetro 'Id_usuario' en ‘/evaluacion_acciones_ver_auto.aspx’;
  • CVE-2026-1477: parámetros 'Id_usuario' e 'Id_evaluacion’ en ‘/evaluacion_competencias_evalua_old.aspx’;
  • CVE-2026-1478: parámetros 'Id_usuario' e 'Id_evaluacion’ en ‘/evaluacion_hca_evalua.aspx’;
  • CVE-2026-1479: parámetros 'Id_usuario' e 'Id_evaluacion’ en ‘/evaluacion_hca_ver_auto.asp';
  • CVE-2026-1480: parámetro 'Id_usuario' en '/evaluacion_objetivos_anyo_sig_evalua.aspx';
  • CVE-2026-1481: parámetro 'Id_usuario' en '/evaluacion_objetivos_anyo_sig_ver_auto.aspx';
  • CVE-2026-1482: parámetro 'Id_evaluacion' en '/evaluacion_objetivos_evalua_definido.aspx';
  • CVE-2026-1483: parámetro 'Id_usuario' en '/evaluacion_objetivos_ver_auto.aspx'.
     
CVE
Explotación
No
Nuevo Fabricante
Quatuor
Identificador CVE
CVE-2025-41369
Severidad
Crítica
Explotación
No
Nuevo Fabricante
Quatuor
Identificador CVE
CVE-2025-41370
Severidad
Crítica
Explotación
No
Nuevo Fabricante
Quatuor
Identificador CVE
CVE-2025-41371
Severidad
Crítica
Explotación
No
Nuevo Fabricante
Quatuor
Identificador CVE
CVE-2025-41372
Severidad
Crítica
Explotación
No
Nuevo Fabricante
Quatuor
Identificador CVE
CVE-2025-41373
Severidad
Crítica
Explotación
No
Nuevo Fabricante
Quatuor
Identificador CVE
CVE-2025-41374
Severidad
Crítica
Explotación
No
Nuevo Fabricante
Quatuor
Identificador CVE
CVE-2025-41375
Severidad
Crítica
Explotación
No
Nuevo Fabricante
Quatuor
Identificador CVE
CVE-2025-41376
Severidad
Crítica
Explotación
No
Nuevo Fabricante
Quatuor
Identificador CVE
CVE-2025-41381
Severidad
Crítica
Explotación
No
Nuevo Fabricante
Quatuor
Identificador CVE
CVE-2025-41382
Severidad
Crítica
Explotación
No
Nuevo Fabricante
Quatuor
Identificador CVE
CVE-2025-41383
Severidad
Crítica
Explotación
No
Nuevo Fabricante
Quatuor
Identificador CVE
CVE-2025-41384
Severidad
Crítica
Listado de referencias
Web oficial | Quatuor
Etiquetas