Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Acora CMS (CVE-2025-25967)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
03/03/2025
Última modificación:
06/03/2025

Descripción

La versión 10.1.1 de Acora CMS es vulnerable a Cross-Site Request Forgery (CSRF). Esta falla permite a los atacantes engañar a los usuarios autenticados para que realicen acciones no autorizadas, como la eliminación de cuentas o la creación de usuarios, mediante la incorporación de solicitudes maliciosas en contenido externo. La falta de protección CSRF permite la explotación mediante solicitudes manipuladas.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:ddsn:acora_cms:10.1.1:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información