Referencia directa a objetos inseguros (IDOR) en CronosWeb de CronosWeb i2A
CronosWeb, versión 25.00 y CronosWeb versión 24.05.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta, que afecta a CronosWeb de CronosWeb i2A, plataforma para gestionar reservas, actividades y servicios de instalaciones deportivas y municipales. La vulnerabilidad ha sido descubierta por Félix Sánchez Medina.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-41358: CVSS v4.0: 8.3 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N | CWE-639.
La vulnerabilidad ha sido solucionada en CronosWeb versión 25.01 (disponible desde el 01/12/2025).
CVE-2025-41358: vulnerabilidad de referencia directa a objetos inseguros (IDOR) en CronosWeb de i2A, en versiones anteriores a 25.00.00.12, incluida. Esta vulnerabilidad podría permitir a un atacante autenticado acceder a documentos de otros usuarios mediante la manipulación del parámetro 'documentCode' en '/CronosWeb/Modulos/Personas/DocumentosPersonales/AdjuntarDocumentosPersonas'.
