Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en HAXiam (CVE-2025-54129)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/07/2025
Última modificación:
22/08/2025

Descripción

HAXiam es un envoltorio de empaquetado para HAXcms que permite a cualquiera crear su propia plataforma de gestión de micrositios. En las versiones 11.0.4 y anteriores, la aplicación devuelve una respuesta 200 al solicitar los datos de un usuario válido y una respuesta 404 al solicitar los datos de un usuario no válido. Esto permite inferir la existencia de cuentas de usuario válidas. Un atacante autenticado puede usar herramientas automatizadas para forzar nombres de usuario potenciales y usar la respuesta de la aplicación para identificar cuentas válidas. Esto puede combinarse con otras vulnerabilidades, como la falta de comprobaciones de autorización, para enumerar y desfigurar los sitios de otros usuarios. Esto se ha corregido en la versión 11.0.5.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:psu:haxiam:*:*:*:*:*:*:*:* 11.0.5 (excluyendo)


Referencias a soluciones, herramientas e información