Inyección SQL (SQLi) en la plataforma Buroweb
Buroweb, versiones anteriores a 2505.0.13.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta a la plataforma web Buroweb, una plataforma centrada en consultorías, servicios en la nube, inteligencia artificial, seguridad y conectividad. La vulnerabilidad ha sido descubierta por Iban Ruiz de Galarreta Cadenas (Miembro del red team de CSA).
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-1432: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:L/SI:N/SA:L | CWE-89
La vulnerabilidad ha sido solucionada por el equipo de T-Systems en la versión 2505.0.13.
Se recomienda actualizar el software del sistema a esta versión o en su defecto a la última versión estable.
CVE-2026-1432: vulnerabilidad de Inyección SQL en la plataforma Buroweb versión 2505.0.12, concretamente en el componente 'tablón'. Esta vulnerabilidad está presente en varios parámetros que no eliminan correctamente la entrada del usuario en el endpoint '/sta/CarpetaPublic/doEvent?APP_CODE=STA&PAGE_CODE=TABLON'.
La explotación de esta vulnerabilidad podría permitir a un atacante ejecutar consultas en la base de datos y poder acceder a información confidencial.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-1432 | crítica | no | T-Systems |
