Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en CanalDenuncia.app

Fecha de publicación 24/10/2025
Identificador
INCIBE-2025-0588
Importancia
4 - Alta
Recursos Afectados

CanalDenuncia.app, versiones anteriores a v4.4.8.

Descripción

INCIBE ha coordinado la publicación de 15 vulnerabilidades de severidad alta, que afectan a CanalDenuncia.app, una plataforma de software para crear y gestionar canales de denuncia internos en empresas. Las vulnerabilidades han sido descubiertas por David Utón Amaya (m3n0sd0n4ld).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • De CVE-2025-41111 a CVE-2025-41114 y de CVE-2025-41335 a CVE-2025-41345: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-862
Solución

Las vulnerabilidades reportadas han sido solucionadas por el equipo de CanalDenuncia.app en la versión 4.4.8.

Detalle

Se ha detectado una vulnerabilidad de falta de autorización en CanalDenuncia.app. Esta vulnerabilidad permite a un atacante acceder a la información de otros usuarios enviando una solicitud POST.

La relación de parámetros e identificadores asignados es la siguiente:

  • CVE-2025-41111: parámetro 'id_denuncia' en '/backend/api/buscarComentariosByDenuncia.php'.
  • CVE-2025-41112: parámetro 'web' en '/backend/api/buscarConfiguracionParametros2.php'.
  • CVE-2025-41113: parámetro 'id_denuncia' en '/backend/api/buscarDenunciaByPin.php'.
  • CVE-2025-41114: parámetros 'id_denuncia' e 'id_user' en '/backend/api/buscarDocumentosByIdDenunciaUsuario.php'.
  • CVE-2025-41135: parámetros 'id' e 'id_sociedad' en '/api/buscarEmpresaById.php'.
  • CVE-2025-41136: parámetro 'web' en '/backend/api/buscarConfiguracionParametros.php'.
  • CVE-2025-41137: parámetro 'web' en '/backend/api/buscarSSOParametros.php'.
  • CVE-2025-41138: parámetros 'id_denuncia' e 'id_user' en '/backend/api/buscarTestigoByIdDenunciaUsuario.php'.
  • CVE-2025-41139: parámetro 'id_sociedad' en '/backend/api/buscarTipoDenuncia.php'.
  • CVE-2025-41140: parámetros 'id_tp_denuncia' e 'id_sociedad' en '/backend/api/buscarTipoDenunciabyId.php'.
  • CVE-2025-41141: parámetros 'id_denuncia' y 'seguro' en '/backend/api/buscarUsuarioByDenuncia.php'.
  • CVE-2025-41142: parámetro 'id_user' en '/backend/api/buscarUsuarioId.php'.
  • CVE-2025-41143: parámetro 'email' en '/backend/api/users/searchUserByEmail.php'.
  • CVE-2025-41144: parámetro 'id_archivo' en '/backend/api/verArchivo.php'.
  • CVE-2025-41145: parámetros 'id_denuncia' e 'id_user' en '/backend/api/buscarDenunciasById.php'.
CVE
Explotación
No
Listado de referencias
CanalDenuncia.app
Etiquetas