Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en SIMPLE.ERP (CVE-2024-8774)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-257 Almacenamiento de contraseñas en formato recuperable
Fecha de publicación:
24/03/2025
Última modificación:
27/03/2025

Descripción

El cliente SIMPLE.ERP almacena la contraseña de superusuario en un formato recuperable, lo que permite a cualquier usuario autenticado de SIMPLE.ERP escalar privilegios a un administrador de base de datos. Este problema afectó a SIMPLE.ERP desde la versión 6.20 hasta la 6.30. Solo la versión 6.30 recibió el parche 6.30@a03.9, que eliminó la vulnerabilidad. Las versiones 6.20 y 6.25 siguen sin parchearse.