Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en CtrlPanel (CVE-2025-25203)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
11/02/2025
Última modificación:
11/02/2025

Descripción

CtrlPanel es un software de facturación de código abierto para proveedores de alojamiento. Antes de la versión 1.0, existía una vulnerabilidad de Cross-Site Scripting (XSS) en `TicketsController` y `Moderation/TicketsController` debido a una validación de entrada insuficiente en el campo `priority` durante la creación de un ticket y a una representación insegura de este campo en el panel del moderador. La versión 1.0 contiene un parche para el problema.