Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Referencia directa a objetos insegura en BOLD Workplanner de GPS

Fecha de publicación 30/07/2025
Identificador
INCIBE-2025-0526
Importancia
4 - Alta
Recursos Afectados

BOLD Workplanner, versiones anteriores a 2.5.25.

Descripción

INCIBE ha coordinado la publicación de 9 vulnerabilidades de severidad alta, que afectan a BOLD Workplanner de Global Planning Solutions (GPS), un software de gestión del tiempo para los recursos humanos. Las vulnerabilidades han sido descubiertas por Ángel González.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo CWE de cada vulnerabilidad:

  • CVE-2025-41091 hasta CVE-2025-41099: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-639
Solución

Las vulnerabilidades han sido solucionadas por el equipo de GPS en la versión 2.5.25.

Detalle

Vulnerabilidad de referencia directa a objetos insegura (IDOR) en versiones anteriores a la 2.5.25 (4935b438f9b) de BOLD Workplanner, que consiste en una falta de validación adecuada de las entradas del usuario, lo que permite a un usuario autenticado obtener información como el número de empleado, nombre, apellido y DNI, registros de fichajes, solicitudes registradas de vacaciones, ausencias, etc. correspondiente a cualquier empleado de la empresa usando identificadores internos no autorizados.

La relación de parámetros e identificadores asignados es la siguiente:

  • CVE-2025-41091: acceso a detalles del calendario usando identificadores internos no autorizados.
  • CVE-2025-41092: acceso a detalles de marcajes usando identificadores internos no autorizados.
  • CVE-2025-41093: acceso a detalles básicos del contrato usando identificadores internos no autorizados.
  • CVE-2025-41094: acceso a detalles funcionales del contrato usando identificadores internos no autorizados.
  • CVE-2025-41095: acceso a detalles de contadores de planificación usando identificadores internos no autorizados.
  • CVE-2025-41096: acceso a fechas del contrato actual usando identificadores internos no autorizados.
  • CVE-2025-41097: acceso a detalles básicos del empleado usando identificadores internos no autorizados.
  • CVE-2025-41098: utilización indebida del servicio web de consulta general.
  • CVE-2025-41099: acceso a la lista de permisos usando identificadores internos no autorizados.
CVE
Explotación
No
Listado de referencias
Bold Workplanner
Etiquetas