Múltiples vulnerabilidades en la aplicación web de Wakyma
Fecha de publicación 16/03/2026
Identificador
INCIBE-2026-0196
Importancia
4 - Alta
Recursos Afectados
Aplicación web de Wakyma.
Descripción
INCIBE ha coordinado la publicación de 5 vulnerabilidades, 3 de severidad alta y 2 de severidad media, que afectan a la aplicación web de Wakyma, software de gestión y marketing para centros veterinarios. Las vulnerabilidades han sido descubiertas por Bruno López Trigo (n0d0n).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2026-3020: CVSS v4.0: 8.6 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE- 639
- CVE-2026-3021: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE- 943
- CVE-2026-3022: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE- 943
- CVE-2026-3023: CVSS v4.0: 5.3 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE- 943
- CVE-2026-3024: CVSS v4.0: 4.8 | CVSS AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N| CWE-79
Solución
Wakyma ha solucionado las vulnerabilidades en la integración continúa desplegada en producción desde el día 19 de Febrero de 2026.
Detalle
- CVE-2026-3020: vulnerabilidad de omisión de autorización mediante clave controlada por el usuario (IDOR) que da lugar a que un atacante pueda modificar los datos de una cuenta de usuario legítima, como por ejemplo modificar la dirección de correo electrónico de la víctima, validar la nueva dirección de correo electrónico y solicitar una nueva contraseña. Esto le podría permitir a un atacante tomar el control total de la cuenta legítima de otros usuarios.
- CVE-2026-3021: vulnerabilidad de inyección SQL no relacional (NoSQLi) en la aplicación web de Wakyma, concretamente en el endpoint 'vets.wakyma.com/centro/equipo/empleado'. Esta vulnerabilidad podría posibilitar que un usuario autenticado altere una solicitud GET al endpoint afectado con el propósito de inyectar comandos NoSQL especiales. Esto conllevaría a la enumeración de datos sensibles de los empleados.
- CVE-2026-3022: vulnerabilidad de inyección SQL no relacional (NoSQLi) en la aplicación web de Wakyma concretamente en el endpoint 'vets.wakyma.com/hospitalizacion/generar-resumen-hospitalizacion'. Esta vulnerabilidad podría permitir que un usuario autenticado altere una solicitud POST al endpoint afectado con el propósito de inyectar comandos NoSQL especiales, lo que da como resultado que el atacante pueda obtener informes de clientes.
- CVE-2026-3023: vulnerabilidad de inyección SQL no relacional (NoSQLi) en la aplicación web de Wakyma concretamente en el endpoint 'vets.wakyma.com/mascotas/imprimir-etiquetas'. Esta vulnerabilidad podría permitir que un usuario autenticado altere una solicitud POST al endpoint afectado con el propósito de inyectar comandos NoSQL, permitiéndole enumerar tanto mascotas como a los nombres de propietarios.
- CVE-2026-3024: vulnerabilidad de Cross-Site Scripting (XSS) almacenado en la aplicación web de Wakyma, concretamente en endpoint 'vets.wakyma.com/configuracion/agenda/modelo-formulario-evento'. Un usuario con permiso para crear cuentas personalizadas podría aprovechar esta vulnerabilidad con el simple hecho de crear una encuesta malintencionada que perjudique a todo el equipo veterinario. Al mismo tiempo, un usuario con privilegios bajos podría explotar esta vulnerabilidad para acceder a datos no autorizados y llevar a cabo acciones con privilegios elevados.
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-3020 | Alta | No | Wakyma |
| CVE-2026-3021 | Alta | No | Wakyma |
| CVE-2026-3022 | Alta | No | Wakyma |
| CVE-2026-3023 | Media | No | Wakyma |
| CVE-2026-3024 | Media | No | Wakyma |
Listado de referencias
Etiquetas
