Vulnerabilidad en Admidio (CVE-2026-32818)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

19/03/2026

Última modificación:

23/03/2026

Descripción

Admidio es una solución de gestión de usuarios de código abierto. En las versiones 5.0.0 a 5.0.6, el módulo del foro en Admidio no verifica si el usuario actual tiene permiso para eliminar temas o publicaciones del foro. Tanto las acciones topic_delete como post_delete en forum.php solo validan el token CSRF pero no realizan ninguna comprobación de autorización antes de llamar a delete(). Cualquier usuario autenticado con acceso al foro puede eliminar cualquier tema (con todas sus publicaciones) o cualquier publicación individual proporcionando su UUID. Esto es inconsistente con las operaciones de guardar/editar, que comprueban correctamente isAdministratorForum() y la propiedad antes de permitir modificaciones. Cualquier usuario que haya iniciado sesión puede eliminar de forma permanente e irreversible cualquier tema del foro (incluidas todas sus publicaciones) o cualquier publicación individual simplemente conociendo su UUID (que es visible públicamente en las URL), eludiendo por completo las comprobaciones de autorización. Este problema ha sido solucionado en la versión 5.0.7.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno