Múltiples vulnerabilidades en TeamCal Neo
Fecha de publicación 31/01/2025
Identificador
INCIBE-2025-0051
Importancia
5 - Crítica
Recursos Afectados
- TeamCal Neo: versión 3.8.2.
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades: una de severidad crítica y otra media, que afectan a TeamCal Neo de Lewe, un calendario en línea por días para gestionar los eventos y ausencias de equipos de trabajo, las cuales han sido descubierta por Ignacio Garcia Mestre (Br4v3n).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad.
- CVE-2025-0929: CVSS v3.1: 9.8 | CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89
- CVE-2025-0930: CVSS v3.1: 6.1 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79
Solución
No hay solución reportada por el momento.
Detalle
- CVE-2025-0929: vulnerabilidad de inyección SQL en TeamCal Neo, versión 3.8.2. Esta podría permitir a un atacante recuperar, actualizar y borrar toda la información de la base de datos mediante la inyección de una sentencia SQL maliciosa vía el parámetro "abs" en «/teamcal/src/index.php».
- CVE-2025-0930: Reflected Cross-Site Scripting (XSS) en TeamCal Neo, versión 3.8.2. Esta permite a un atacante ejecutar código JavaScript malicioso, tras inyectar código vía el parámetro "abs" en «/teamcal/src/index.php».
Listado de referencias
Etiquetas
