Múltiples vulnerabilidades en productos de Imaster

Fecha de publicación 12/01/2026

Identificador

INCIBE-2026-015

Importancia

5 - Crítica

Recursos Afectados

MEMS Events CRM;
Patient Records Management System.

Descripción

INCIBE ha coordinado la publicación de 4 vulnerabilidades, 1 de severidad crítica, 2 de severidad alta y 1 de severidad media, que afectan a MEMS Events CRM y Patient Records Management System de Imaster, programas para la gestión empresarial. Las vulnerabilidades han sido descubiertas por Gonzalo Aguilar García (6h4ack).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

CVE-2025-41003: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
CVE-2025-41004 y CVE-2025-41005: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
CVE-2025-41006: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89

Solución

No hay solución reportada por el momento.

Detalle

CVE-2025-41003: el Sistema de Gestión de Registros de Pacientes de Imaster contiene una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el endpoint '/projects/hospital/admin/edit_patient.php'. Al inyectar un script malicioso en el parámetro 'firstname', el código JavaScript se almacena y ejecuta cada vez que un usuario accede a la lista de pacientes, permitiendo a un atacante ejecutar JavaScript arbitrario en el navegador de una víctima.
CVE-2025-41004: el Sistema de Gestión de Registros de Pacientes de Imaster es vulnerable a SQL Injection en el endpoint '/projects/hospital/admin/complaints.php' a través del parámetro 'id'.
El CRM MEMS Events de Imaster contiene una vulnerabilidad de inyección SQL. La relación de parámetros e identificadores asignados es la siguiente:
- CVE-2025-41005: parámetro 'keyword' en '/memsdemo/exchange_offers.php'.
- CVE-2025-41006: parámetro 'phone' en '/memsdemo/login.php'.