Múltiples vulnerabilidades en el chatbot de HiJiffy
El Chatbot de HiJiffy.
INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad media que afectan al Chatbot de HiJiffy, un centro de comunicaciones para huéspedes. Las vulnerabilidades han sido descubiertas por David Utón Amaya (m3n0sd0n4ld).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- Desde CVE-2026-4262 hasta CVE-2026-4263: 6.9 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-863
Las vulnerabilidades han sido resueltas por el equipo de HiJiffy. Dado que el el producto afectado se trata de una solución cloud, la solución ya ha sido desplegada en todas las versiones online, por lo que no es necesario ningún tipo de acción adicional por parte de los usuarios.
Se ha detectado una autorización incorrecta en HiJiffy Chatbot. La relación de parámetros e identificadores asignados es la siguiente:
- CVE-2026-4262: esta vulnerabilidad permite a un atacante descargar mensajes privados de otros usuarios a través del parámetro 'ID' en el endpoint '/api/v1/download/<ID>/'.
- CVE-2026-4263: esta vulnerabilidad permite a un atacante acceder a los mensajes privados de otros usuarios a través del parámetro 'visitor' en el endpoint '/api/v1/webchat/message'.
Estos hallazgos no dieron lugar a ninguna filtración de datos.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
