Múltiples vulnerabilidades en Seafile
Seafile, versión anteriores a 12.0.14.
INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad media, que afectan a Seafile, un software de código abierto para sincronizar y compartir archivos. Las vulnerabilidades han sido descubiertas por Arnau Sola López y Arnau Yepes Huguet.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-41079 y CVE-2025-41080: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79.
Las vulnerabilidades han sido solucionadas por el equipo de Seafile en la versión 12.0.14.
Se ha encontrado una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en Seafile v12.0.10. Esta vulnerabilidad permite a un atacante ejecutar código arbitrario en el navegador de la víctima mediante el almacenamiento de carga maliciosa. La relación de parámetros e identificadores asignados es la siguiente:
- CVE-2025-41079: PUT parámetro 'name' en '/api/v2.1/user/'.
- CVE-2025-41080: POST parámetro 'p' en '/api/v2.1/repos/{repo_id}/file/'.
