Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Flexense

Fecha de publicación 20/01/2026
Identificador
INCIBE-2026-040
Importancia
4 - Alta
Recursos Afectados
  • Sync Breeze Enterprise Server v10.4.18;
  • Disk Pulse Enterprise v10.4.18.
Descripción

INCIBE ha coordinado la publicación de 11 vulnerabilidades: 5 de severidad alta y 6 de severidad media, que afectan a Sync Breeze Enterprise Server y Disk Pulse Enterprise de Flexense, soluciones para la sincronización de archivos y el monitoreo de discos . Las vulnerabilidades han sido descubiertas por Rafael Pedrero.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • De CVE-2025-59891 a CVE-2025-59894: CVSS v4.0: 8.5 | CVSS AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE- 352
  • CVE-2025-59895: CVSS v4.0: 8.2 | CVSS AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N | CWE- 20
  • De CVE-2025-59896 a CVE-2025-59900: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE- 79
  • CVE-2025-59901: CVSS v4.0: 4.8 | CVSS AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE- 352
Solución

No hay solución reportada por el momento.

Detalle
  • Vulnerabilidad de falsificación de solicitudes entre sitios (CSRF) en Sync Breeze Enterprise Server v10.4.18 y Disk Pulse Enterprise v10.4.18. Un usuario autenticado podría llevar a otro usuario a ejecutar acciones no deseadas dentro de la aplicación en la que está conectado. Esta vulnerabilidad es posible debido a la falta de una implementación adecuada del token CSRF. Entre otras cosas, es posible, mediante una petición POST:
    • CVE-2025-59891: cambiar la contraseña de un usuario o crear usuarios a través de '/setup_login?sid=', lo que afecta a los parámetros 'username', 'password' y 'cpassword'.
    • CVE-2025-59892: eliminar comandos individualmente a través de '/delete_command?sid=', mediante el parámetro 'cid'.
    • CVE-2025-59893: renombrar comandos a través de '/rename_command?sid=', lo que afecta al parámetro 'command_name'.
    • CVE-2025-59894: eliminar todos los comandos a través de '/delete_all_commands?sid='.
  • CVE-2025-59895: Sync Breeze Enterprise Server v10.4.18 y Disk Pulse Enterprise v10.4.18 presentan una vulnerabilidad de denegación de servicio (DoS) remota en la funcionalidad de restauración de la configuración. El problema se debe a una validación insuficiente de los datos proporcionados por el usuario durante dicho proceso. Un atacante podría enviar solicitudes maliciosas para alterar el archivo de configuración, provocando que la aplicación deje de responder. En un escenario exitoso, el servicio podría no recuperarse por sí solo y requerir una reinstalación completa, ya que la configuración queda dañada e impide el reinicio del servicio, incluso de forma manual.
  • Sync Breeze Enterprise Server v10.4.18 y Disk Pulse Enterprise v10.4.18 presentan una vulnerabilidad de Cross-Site Scripting (XSS) autenticado persistente. Un atacante podría enviar contenido malicioso a un usuario autenticado y robar información de su sesión, debido a una validación insuficiente de las entradas del usuario en distintos parámetros, a través de peticiones POST:
    • CVE-2025-59896: '/add_command?sid=', lo que afecta al parámetro 'command_name'.
    • CVE-2025-59897: '/edit_command?sid=', lo que afecta a los parámetros 'source_dir' y 'dest_dir'.
    • CVE-2025-59898: '/add_exclude_dir?sid=', lo que afecta al parámetro 'exclude_dir'.
    • CVE-2025-59899: '/server_options?sid=', lo que afecta a los parámetros 'tasks_logs_dir', 'errors_logs_dir', 'error_notifications_address', 'status_notifications_address' y 'status_reports_address'.
    • CVE-2025-59900: '/rename_command?sid=', que afecta al parámetro 'command_name'.
  • CVE-2025-59901: Disk Pulse Enterprise v10.4.18 presenta una vulnerabilidad de XSS autenticado reflejado en el endpoint '/monitor_directory?sid=', causada por una validación insuficiente del parámetro 'monitor_directory' enviado por POST. Un atacante podría explotar esta debilidad para enviar contenido malicioso a un usuario autenticado y robar información de su sesión.
CVE
Explotación
No
Listado de referencias
Flexense - Web del fabricante
Etiquetas