Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Limesurvey

Fecha de publicación 20/11/2025
Identificador
INCIBE-2025-0651
Importancia
3 - Media
Recursos Afectados

LimeSurvey, versión 6.13.0.

Descripción

INCIBE ha coordinado la publicación de 3 vulnerabilidades de severidad media que afectan a Limesurvey 6.13.0 de Limesurvey, una aplicación de encuestas en línea. Las vulnerabilidades han sido descubiertas por Julen Garrido Estevez.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-41074: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N | CWE-835
  • CVE-2025-41075: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N | CWE-835
  • CVE-2025-41076: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-209
Solución

Las vulnerabilidades han sido solucionadas por el equipo en la versión 6.15.0.

Detalle
  • Vulnerabilidad en LimeSurvey 6.13.0 que provoca redireccionamientos HTTP infinitos cuando se accede a él directamente. Este comportamiento puede aprovecharse para generar una condición de Denegación de Servicio (DoS) agotando los recursos del servidor o del cliente. El sistema no consigue romper el bucle de redireccionamiento, lo que puede provocar una degradación del servicio o inestabilidad del navegador.
    • CVE-2025-41074: en el endpoint '/optout'.
    • CVE-2025-41075: en el endpoint '/optin'.
  • CVE-2025-41076: En la versión 6.13.0 de LimeSurvey, cualquier usuario externo puede provocar un error 500 en el sistema de encuestas enviando una cookie de sesión mal formada. En lugar de mostrar un mensaje de error genérico, el sistema expone información interna del backend, incluyendo el uso del framework Yii, el motor de base de datos MySQL/MariaDB, el nombre de la tabla 'lime_sessions', las claves primarias y fragmentos del contenido que causó el conflicto. Esta información puede facilitar la recopilación de datos sobre la arquitectura interna de la aplicación por parte de un atacante.
CVE
Explotación
No
Fabricante
limesurvey
Identificador CVE
CVE-2025-41074
Severidad
Media
Explotación
No
Fabricante
limesurvey
Identificador CVE
CVE-2025-41075
Severidad
Media
Explotación
No
Fabricante
limesurvey
Identificador CVE
CVE-2025-41076
Severidad
Media
Listado de referencias
LimeSurvey Herramienta de encuestas gratuita
Etiquetas