Vulnerabilidad en Indico (CVE-2026-25739)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

19/02/2026

Última modificación:

26/02/2026

Descripción

Indico es un sistema de gestión de eventos que utiliza Flask-Multipass, un sistema de autenticación multi-backend para Flask. Las versiones anteriores a la 3.3.10 son vulnerables a cross-site scripting al subir ciertos tipos de archivos como materiales. Los usuarios deben actualizar a la versión 3.3.10 para recibir un parche. Para aplicar la corrección en sí, la actualización es suficiente, pero para beneficiarse de la estricta Política de Seguridad de Contenido (CSP) que Indico ahora aplica por defecto para las descargas de archivos, actualice la configuración del servidor web en caso de que se use nginx con el `STATIC_FILE_METHOD` de Indico configurado como `xaccelredirect`. Para obtener más indicaciones, consulte el aviso de seguridad de GitHub o la documentación de configuración de Indico. Algunas soluciones alternativas están disponibles. Utilice la configuración del servidor web para aplicar una CSP estricta para los puntos finales de descarga de materiales, y/o solo permita que usuarios de confianza creen contenido (incluidas las subidas de materiales, que los ponentes también pueden hacer normalmente) en Indico.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno