Vulnerabilidad en Indico (CVE-2025-53640)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
14/07/2025
Última modificación:
22/07/2025
Descripción
Indico es un sistema de gestión de eventos que utiliza Flask-Multipass, un sistema de autenticación multibackend para Flask. A partir de la versión 2.2 y anteriores a la 3.3.7, un endpoint utilizado para mostrar la información de los usuarios en ciertos campos (como las ACL) podía utilizarse indebidamente para volcar información básica del usuario (como nombre, afiliación y correo electrónico) de forma masiva. La versión 3.3.7 soluciona este problema. Los propietarios de instancias que permiten a cualquier persona crear una cuenta de usuario y que deseen restringir el acceso a esta información de usuario deberían considerar restringir la búsqueda de usuarios a los administradores. Como solución alternativa, es posible restringir el acceso a los endpoints afectados (por ejemplo, en la configuración del servidor web); sin embargo, esto interrumpiría el funcionamiento de ciertos campos de formulario, que ya no mostrarían la información de los usuarios incluidos en ellos, por lo que se recomienda encarecidamente actualizar la versión.
Impacto
Puntuación base 4.0
5.30
Gravedad 4.0
MEDIA
Referencias a soluciones, herramientas e información
- https://docs.getindico.io/en/stable/config/settings/#ALLOW_PUBLIC_USER_SEARCH
- https://docs.getindico.io/en/stable/installation/upgrade
- https://github.com/indico/indico/releases/tag/v3.3.7
- https://github.com/indico/indico/security/advisories/GHSA-q28v-664f-q6wj
- https://www.vicarius.io/vsociety/posts/cve202553640-detect-indico-vulnerability
- https://www.vicarius.io/vsociety/posts/cve202553640-mitigate-indico-vulnerability