Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Minerva de MphRx

Fecha de publicación 28/04/2026
Identificador
INCIBE-2026-317
Importancia
5 - Crítica
Recursos Afectados

Minerva V3.6.0.

Descripción

INCIBE ha coordinado la publicación de 3 vulnerabilidades, 1 de severidad crítica y 2 de severidad alta, que afectan a Minerva V3.6.0 de MphRx, una plataforma de datos de salud. Las vulnerabilidades han sido descubiertas por Alejandro Rivera León de BlackArrow.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2026-5779: CVSS v4.0: 9.4 | CVSS  AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:H | CWE-284
  • CVE-2026-5780: CVSS v4.0: 8.5 | CVSS  AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H | CWE-284
  • CVE-2026-5781: CVSS v4.0: 8.5 | CVSS  AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:H | CWE-285
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2026-5779: referencia directa a objetos insegura (IDOR) en Minerva V3.6.0 de MphRx, concretamente en el endpoint '/minerva/user/updateUserProfile'. Esto permite a un usuario autenticado modificar la información de otros usuarios registrados. La explotación exitosa de esta vulnerabilidad permite a un usuario autenticado modificar la información de otros usuarios, como la dirección de correo electrónico, y solicitar una nueva contraseña a través del punto final '/webconnect/#/forgotPassword'. Esto podría dar lugar a la apropiación total de la cuenta.
  • CVE-2026-5780: referencia insegura a objetos directos (IDOR) en en Minerva V3.6.0 de MphRx, concretamente en el endpoint '/minerva/moUser/show/<ID>'. Si se aprovecha con éxito esta vulnerabilidad, un usuario autenticado puede acceder a los datos de otros usuarios registrados con solo modificar el ID. Esto permite obtener una lista de los usuarios.
  • CVE-2026-5781: autorización incorrecta en Minerva V3.6.0 de MphRx, concretamente en el endpoint '/minerva/moUser/update' podría permitir que un usuario autenticado con privilegios de modificación de usuarios elevara sus privilegios enviando una solicitud HTTP con el campo 'identifier' manipulado. La explotación exitosa de esta vulnerabilidad podría permitir que un usuario autenticado obtuviera privilegios de administrador. No es posible elevar privilegios a través de la interfaz gráfica de usuario.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-5779 Crítica No MphRx
CVE-2026-5780 Alta No MphRx
CVE-2026-5781 Alta No MphRx
Listado de referencias
Página web de Aion Health
Etiquetas