Vulnerabilidad en Janto (CVE-2025-1107)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

07/02/2025

Última modificación:

07/02/2025

Descripción

Vulnerabilidad de cambio de contraseña no verificada en Janto, versiones anteriores a r12. Esto podría permitir que un atacante no autenticado cambie la contraseña de otro usuario sin conocer su contraseña actual. Para explotar la vulnerabilidad, el atacante debe crear una solicitud POST específica y enviarla al endpoint &#39;/public/cgi/Gateway.php&#39;.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.90 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

9.90

Gravedad 3.x

CRÍTICA

Referencias a soluciones, herramientas e información

https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-janto