Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Viafirma

Fecha de publicación 02/12/2025
Identificador
INCIBE-2026-015
Importancia
4 - Alta
Recursos Afectados
  • Viafirma Inbox, versiones anteriores a 4.5.27;
  • Viafirma Documents, versiones anteriores a 3.7.139;
  • Viafirma Documents Compose, versiones anteriores a 1.9.2.
Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad alta, que afectan a Documents, Documents Compose y Inbox de Viafirma, una plataforma para la gestión de firma electrónica. Las vulnerabilidades han sido descubiertas por Carlos Aguadé Cabañas.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-41077: CVSS v4.0: 8.6 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-639
  • CVE-2025-41078: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N | CWE-863
Solución

Las vulnerabilidades han sido solucionadas por el equipo de Viafirma.

  • La vulnerabilidad CVE-2025-41077 ha sido solucionada en Viafirma Inbox v4.5.27.
  • La vulnerabilidad CVE-2025-41078 ha sido solucionada en Viafirma Documents v3.7.139 y en Viafirma Documents Compose v1.9.2.
Detalle
  • CVE-2025-41077: vulnerabilidad IDOR en Viafirma Inbox v4.5.13 que permite a cualquier usuario autenticado sin privilegios en la aplicación enumerar a todos los usuarios y acceder y modificar sus datos. Esto permite modificar las direcciones de correo electrónico de los usuarios y, posteriormente, utilizando la funcionalidad de recuperación de contraseñas, acceder a la aplicación suplantando la identidad de cualquier usuario, incluidos aquellos con permisos de administración.
  • CVE-2025-41078: debilidades en los mecanismos de autorización de Viafirma Documents v3.7.129 permiten a un usuario autenticado sin privilegios enumerar y acceder a otros datos de usuarios, utilizar funcionalidades de creación, modificación y borrado de usuarios y escalar privilegios suplantando la identidad de otros usuarios de la aplicación en la generación y firma de documentos.
CVE
Explotación
No
Nuevo Fabricante
Viafirma
Identificador CVE
CVE-2025-41077
Severidad
Alta
Explotación
No
Nuevo Fabricante
Viafirma
Identificador CVE
CVE-2025-41077
Severidad
Alta
Listado de referencias
Firma electrónica y digital de documentos - Viafirma
Etiquetas