Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en mall de macrozheng (CVE-2026-25858)

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-640 Mecanismo débil para recuperación de contraseñas olvidadas
Fecha de publicación:
07/02/2026
Última modificación:
09/02/2026

Descripción

macrozheng mall versión 1.0.3 y anteriores contiene una vulnerabilidad de autenticación en el flujo de trabajo de restablecimiento de contraseña de mall-portal que permite a un atacante no autenticado restablecer contraseñas de cuentas de usuario arbitrarias utilizando solo el número de teléfono de una víctima. El flujo de restablecimiento de contraseña expone la contraseña de un solo uso (OTP) directamente en la respuesta de la API y valida las solicitudes de restablecimiento de contraseña únicamente comparando la OTP proporcionada con un valor almacenado por número de teléfono, sin verificar la identidad del usuario o la propiedad del número de teléfono. Esto permite la toma de control remota de la cuenta de cualquier usuario con un número de teléfono conocido o predecible.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.30 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA

Referencias a soluciones, herramientas e información