Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades de Cross-Site scripting (XSS) en OpenAtlas de ACDH-CH

Fecha de publicación 28/08/2025
Identificador
INCIBE-2025-0460
Importancia
3 - Media
Recursos Afectados

OpenAtlas, versión 8.9.0.

Descripción

INCIBE ha coordinado la publicación de 8 vulnerabilidades de severidad media que afectan a OpenAtlas -un software de base de datos de código abierto desarrollado especialmente para adquirir, editar y gestionar datos de investigación de diversos campos de humanidades como la historia, la arqueología y el patrimonio cultural, así como los datos científicos relacionados-, versión 8.9.0, las cuales han sido descubiertas por Andrea Intilangelo (acme).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • desde CVE-2025-40702 hasta CVE-2025-40709: 5.1 | CVSS:4.0 AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

Las vulnerabilidades han sido solucionadas por el equipo de Austrian Centre for Digital Humanities and Cultural Heritage (ACDH-CH) en la versión 8.10.1, disponible en https://github.com/craws/OpenAtlas.

Detalle

Existen varias vulnerabilidades de Cross-Site scripting (XSS) almacenado en OpenAtlas v8.9.0 de Austrian Centre for Digital Humanities and Cultural Heritage (ACDH-CH), debido a que no se validan adecuadamente las entradas del usuario cuando se envía una petición POST. Las vulnerabilidades podrían permitir a un usuario remoto enviar consultas especialmente manipuladas a un usuario autenticado y robar los detalles de su cookie de sesión.

Para cada identificador, la relación de peticiones POST y parámetros es la siguiente:

  • CVE-2025-40702: petición "/insert/file", parámetros "creator" y "license_holder";
  • CVE-2025-40703: petición "/insert/group", parámetros "name" y "alias-0”;
  • CVE-2025-40704: petición "/insert/edition", parámetro "name";
  • CVE-2025-40705: petición "/insert/acquisition", parámetro "name";
  • CVE-2025-40706: petición "/insert/source", parámetro "name";
  • CVE-2025-40707: petición "/insert/place", parámetros "name" y "alias-0”;
  • CVE-2025-40708: petición "/insert/event", parámetro "name";
  • CVE-2025-40709: petición "/insert/person/<ID>”, parámetros "name" y "alias-0”.
CVE
Explotación
No
Listado de referencias
OpenAtlas
GitHub OpenAtlas
Etiquetas