Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en UnoPim (CVE-2025-55745)

Gravedad CVSS v4.0:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/08/2025
Última modificación:
22/08/2025

Descripción

UnoPim es un sistema de gestión de información de productos (PIM) de código abierto basado en el framework Laravel. Las versiones 0.3.0 y anteriores son vulnerables a la inyección de CSV, también conocida como inyección de fórmulas, en la función de exportación rápida. Esta vulnerabilidad permite a los atacantes inyectar contenido malicioso en archivos CSV exportados. Al abrir el archivo CSV en aplicaciones de hoja de cálculo como Microsoft Excel, la entrada maliciosa puede interpretarse como una fórmula o un comando, lo que podría provocar la ejecución de código arbitrario en el dispositivo de la víctima. Una explotación exitosa puede provocar la ejecución remota de código, incluyendo el establecimiento de un shell inverso. Se recomienda a los usuarios actualizar a la versión 0.3.1 o posterior.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:P/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H/E:P CVSS v4.0 Severidad y Métricas:

Puntuación base: 2.50 BAJA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:P/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H/E:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Passsive
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto
Exploit Maturity (E): POC

Puntuación base 4.0
2.50
Gravedad 4.0
BAJA

Referencias a soluciones, herramientas e información