Vulnerabilidad en Unblu Spark (CVE-2025-3519)

Gravedad CVSS v4.0:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

22/04/2025

Última modificación:

23/04/2025

Descripción

Una omisión de autorización en Unblu Spark permite a un participante de una conversación reemplazar un archivo subido. A cada archivo subido en Unblu se le asigna un ID Único Universal (UUID) generado aleatoriamente. Si un participante de esta u otra conversación accede a dicho ID de archivo, este puede usarse para reemplazarlo sin cambiar el nombre ni los detalles del archivo, ni el nombre del usuario que lo subió. Durante la subida, las reglas de interceptación de archivos y de tipos de archivo permitidos se aplican correctamente.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:H/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 7.00 ALTA
Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:H/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Alto
Availability (SA): Ninguno

Puntuación base 4.0

7.00

Gravedad 4.0

ALTA

Referencias a soluciones, herramientas e información

https://www.unblu.com/en/docs/latest/security-bulletins/#UBL-2025-001