Múltiples vulnerabilidades en productos de WorkDo

Fecha de publicación 12/01/2026

Identificador

INCIBE-2026-014

Importancia

3 - Media

Recursos Afectados

TicketGo;
eCommerceGo SaaS;
HRMGo.

Descripción

INCIBE ha coordinado la publicación de 4 vulnerabilidades, 4 de severidad media, que afectan a TicketGo, eCommerceGo SaaS y HRMGo de WorkDo. Las vulnerabilidades han sido descubiertas por Gonzalo Aguilar García (6h4ack).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

Desde CVE-2025-40975 hasta CVE-2025-40978: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79

Solución

No hay solución reportada por el momento.

Detalle

CVE-2025-40975: vulnerabilidad de Cross-Site Scripting (XSS) almacenado en HRMGo de WorkDo, que consiste en una falta de validación adecuada de las entradas del usuario mediante el envío de una solicitud POST a '/hrmgo/ticket/changereply', utilizando el parámetro 'description'.
CVE-2025-40976: vulnerabilidad de Cross-Site Scripting (XSS) almacenado en TicketGo de WorkDo, que consiste en una falta de validación adecuada de las entradas del usuario mediante el envío de una solicitud POST a '/ticketgo-saas/home', utilizando el parámetro 'description'.
CVE-2025-40977: vulnerabilidad de Cross-Site Scripting (XSS) almacenado en eCommerceGo SaaS de WorkDo, que consiste en una falta de validación adecuada de las entradas del usuario mediante el envío de una solicitud POST a '/store-ticket', utilizando los parámetros 'subject' y 'description'.
CVE-2025-40978: vulnerabilidad Cross-Site Scripting (XSS) almacenado en eCommerceGo SaaS de WorkDo, que consiste en un XSS almacenado debido a la falta de validación adecuada de las entradas del usuario mediante el envío de una petición POST a '/ticket/x/conversión', utilizando el parámetro 'reply_description'.