Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en appRain CMF

Fecha de publicación 04/09/2025
Identificador
INCIBE-2025-0473
Importancia
4 - Alta
Recursos Afectados
  • appRain CMF, versión 4.0.5.
Descripción

INCIBE ha coordinado la publicación de 32 vulnerabilidades, 4 de severidad alta y 28 de severidad media, que afectan a appRain CMF (Content Management Framework). Las vulnerabilidades han sido descubiertas por Rafael Pedrero.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • de CVE-2025-41032 a CVE-2025-41034: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
  • CVE-2025-41035: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-22
  • de CVE-2025-41036 a CVE-2025-41061: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
  • de CVE-2025-41062 a CVE-2025-41063: CVSS v4.0: 4.8 | CVSS AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

No hay solución reportada por el momento. 

Detalle
  • Se ha encontrado una vulnerabilidad de inyección SQL en appRain CMF 4.0.5. Esta vulnerabilidad permite a un atacante recuperar, crear, actualizar y eliminar la base de datos. La lista de parámetros e identificadores asignados es la siguiente:
    • CVE-2025-41032: parámetro 'data%5BAdmin%5D%5Busername%5D' en /apprain/admin/manage/add/.
    • CVE-2025-41033: parámetro 'data%5BPage%5D%5Bname%5D' en /apprain/page/manage-dynamic-pages/create.
    • CVE-2025-41034: parámetro 'data%5BPage%5D%5Bname%5D' en /apprain/page/manage-static-pages/create/.
  • CVE-2025-41035: se ha descubierto un problema en appRain CMF 4.0.5. Una vulnerabilidad de Path Traversal autenticada en /apprain/common/download/ permite a usuarios remotos eludir las restricciones de SecurityManager previstas y descargar cualquier archivo si tiene permisos adecuados fuera de la documentroot configurada en el servidor a través de la ruta base64 después de /download/.
  • Se ha descubierto una vulnerabilidad en appRain CMF versión 4.0.5, que consiste en un XSS autenticado almacenado debido a la falta de validación adecuada de las entradas de usuario. La lista de parámetros e identificadores asignados es la siguiente:
    • CVE-2025-41036: parámetros 'data[Admin][description]', 'data[Admin][f_name]' y 'data[Admin][l_name]' en /apprain/admin/account/edit.
    • CVE-2025-41037: parámetro 'data[FileManager][search]' en /apprain/admin/filemanager.
    • CVE-2025-41038: parámetro 'data[Group][name]' en /apprain/admin/managegroup/add/.
    • CVE-2025-41039: parámetros 'data[sconfig][admin_landing_page]', 'data[sconfig][currency]', 'data[sconfig][db_version]', 'data[sconfig][default_pagination]', 'data[sconfig][emailsetup_from_email]', 'data[sconfig][emailsetup_host]', 'data[sconfig][emailsetup_password]', 'data[sconfig][emailsetup_port]', 'data[sconfig][emailsetup_username]', 'data[sconfig][fileresource_id]', 'data[sconfig][large_image_height]', 'data[sconfig][large_image_width]' y 'data[sconfig][time_zone_padding]' en /apprain/admin/config/opts.
    • parámetros 'data[code]', 'data[lang][0][key]', 'data[lang][0][value]', 'data[lang][1][key]' y 'data[title]' en:
      • CVE-2025-41040: /apprain/developer/language/lipsum.xml.
      • CVE-2025-41041: /apprain/developer/language/default.xml.
    • CVE-2025-41042: parámetros 'data[Option][message]', 'data[Option][subject]' y 'data[Option][templatetype]' en /apprain/information/manage/emailtemplate/add.
    • CVE-2025-41043: parámetros 'data[AppReportCode][id]' y 'data[AppReportCode][name]' en /apprain/appreport/manage/.
    • CVE-2025-41044: parámetro 'data[Page][name]' en /apprain/page/manage-static-pages/create.
    • CVE-2025-41045: parámetro 'data[sconfig][ethical_licensekey]' en /apprain/admin/config/ethical.
    • parámetros 'data[Addon][layouts]' y 'data[Addon][layouts_except]' en:
      • CVE-2025-41046: /apprain/developer/addons/update/960grid.
      • CVE-2025-41047: /apprain/developer/addons/update/ace.
      • CVE-2025-41048: /apprain/developer/addons/update/admin.
      • CVE-2025-41049: /apprain/developer/addons/update/appform.
      • CVE-2025-41050: /apprain/developer/addons/update/base_libs.
      • CVE-2025-41051: /apprain/developer/addons/update/bootstrap.
      • CVE-2025-41052: /apprain/developer/addons/update/canvasjs.
      • CVE-2025-41053: /apprain/developer/addons/update/commonresource.
      • CVE-2025-41054: /apprain/developer/addons/update/cycle.
      • CVE-2025-41055: /apprain/developer/addons/update/dialogs.
      • CVE-2025-41056: /apprain/developer/addons/update/hysontable.
      • CVE-2025-41057: /apprain/developer/addons/update/rich_text_editor.
      • CVE-2025-41058: /apprain/developer/addons/update/row_manager.
      • CVE-2025-41059: /apprain/developer/addons/update/tablesorter.
      • CVE-2025-41060: /apprain/developer/addons/update/tree.
      • CVE-2025-41061: /apprain/developer/addons/update/uploadify.
  • Se ha descubierto una vulnerabilidad en la versión 4.0.5 de appRain CMF, que consiste en un XSS autenticado reflejado debido a la falta de validación adecuada de las entradas de usuario. La lista de parámetros e identificadores asignados es la siguiente:
    • CVE-2025-41062: parámetro 'page' en /apprain/developer/addons.
    • CVE-2025-41063: parámetro 's' en /apprain/developer/debug-log/db.
CVE
Explotación
No
Listado de referencias
Web del producto
Etiquetas