Vulnerabilidad en Admidio (CVE-2026-32816)

Admidio es una solución de gestión de usuarios de código abierto. En las versiones 5.0.0 a 5.0.6, los modos de eliminar, activar y desactivar en modules/groups-roles/groups_roles.php realizan cambios de estado destructivos en los roles organizacionales, pero nunca validan un token anti-CSRF. La interfaz de usuario del cliente (UI) pasa un token CSRF a callUrlHideElement(), que lo incluye en el cuerpo de la solicitud POST, pero los manejadores del servidor ignoran $_POST["adm_csrf_token"] por completo para estos tres modos. Un atacante que pueda descubrir un UUID de rol (visible en la vista pública de tarjetas cuando el módulo es accesible públicamente) puede incrustar un formulario POST falsificado en cualquier página externa y engañar a cualquier usuario con el derecho rol_assign_roles para que elimine o alterne roles para la organización. La eliminación de roles es permanente y se propaga a todas las membresías, asociaciones de eventos y datos de derechos. Si se explota, un atacante puede engañar a cualquier usuario con derechos delegados de asignación de roles para que elimine roles de forma permanente, revoque masivamente todas las membresías asociadas y el acceso a eventos, documentos y listas de correo, o active o desactive silenciosamente grupos enteros, con los UUID de rol objetivo fácilmente obtenidos de la vista pública de tarjetas no autenticada y sin una ruta de deshacer que no sea una restauración de la base de datos. Este problema ha sido solucionado en la versión 5.0.7.