Vulnerabilidad en OpenSlides (CVE-2026-25519)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
04/02/2026
Última modificación:
18/02/2026
Descripción
OpenSlides es un sistema de presentación y asamblea gratuito, basado en web, para gestionar y proyectar la agenda, las mociones y las elecciones de una asamblea. Antes de la versión 4.2.29, OpenSlides soporta inicios de sesión locales con nombre de usuario y contraseña o un inicio de sesión único (single sign-on) opcionalmente configurable con SAML a través de un IDP externo. Para los usuarios sincronizados con OpenSlides a través de un IDP externo, existe un control de acceso incorrecto con respecto al inicio de sesión local de estos usuarios. Los usuarios pueden iniciar sesión exitosamente utilizando el formulario de inicio de sesión local y el nombre de usuario de OpenSlides de un usuario SAML y una contraseña trivial. Esta contraseña es válida para todos los usuarios SAML. Este problema ha sido parcheado en la versión 4.2.29.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openslides:openslides:*:*:*:*:*:*:*:* | 4.2.5 (incluyendo) | 4.2.29 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/OpenSlides/OpenSlides/releases/tag/4.2.29
- https://github.com/OpenSlides/OpenSlides/security/advisories/GHSA-vv4h-8wfc-pf8c
- https://github.com/OpenSlides/openslides-auth-service/commit/70c1aa9f5e1db59ec120ecce98d1c1169350a4ee
- https://github.com/OpenSlides/openslides-auth-service/pull/889