Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en h6web de Grupo Anapi

Fecha de publicación 13/02/2025
Identificador
INCIBE-2025-0083
Importancia
5 - Crítica
Recursos Afectados
  • Aplicación h6web.
Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades: una de severidad crítica y otra de severidad media, que afectan a h6web de Grupo Anapi, una aplicación para gestionar cofradías y pagos en línea, las cuales han sido descubierta por Bertrand Lorente Yáñez.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-1270: CVSS v3.1: 9.1 | CVSS AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L | CWE-639
  • CVE-2025-1271: CVSS v3.1: 6.1 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79
Solución

El equipo de Grupo Anapi ha tomado las siguientes medidas:

  • la vulnerabilidad de Insecure Direct Object Reference ha sido deshabilitada por completo;
  • la vulnerabilidad de Cross-Site Scripting (XSS) ha sido solucionada en la última versión.
Detalle
  • CVE-2025-1270: la vulnerabilidad de referencia directa insegura a objetos (IDOR) en H6Web del Grupo Anapi permite a un atacante autenticado acceder a la información de otros usuarios mediante una petición POST y la modificación del parámetro "pkrelacionado" en el endpoint "/h6web/ha_datos_hermano.php" para hacer referencia a otro usuario. Además, la primera solicitud también podría permitir al atacante suplantar la identidad de otros usuarios. Como resultado, todas las solicitudes realizadas después de la explotación de la vulnerabilidad IDOR se ejecutarán con los privilegios del usuario suplantado.
  • CVE-2025-1271: Cross-Site Scripting (XSS) reflejado en h6web del Grupo Anapi. Este fallo de seguridad podría permitir a un atacante inyectar código JavaScript malicioso en una URL. Cuando un usuario accede a dicha URL, el código inyectado se ejecuta en su navegador, lo que puede derivar en el robo de información sensible, la suplantación de identidad o la ejecución de acciones no autorizadas en nombre del usuario afectado.
Listado de referencias
Aplicación H6Web
Etiquetas