Vulnerabilidad en Indico (CVE-2025-59035)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

10/09/2025

Última modificación:

17/09/2025

Descripción

Indico es un sistema de gestión de eventos que utiliza Flask-Multipass, un sistema de autenticación multi-backend para Flask. Antes de la versión 3.3.8, existe una vulnerabilidad de Cross-Site-Scripting al renderizar código matemático LaTeX en descripciones de contribuciones o resúmenes. Los usuarios deberían actualizar a Indico 3.3.8 lo antes posible. Como solución alternativa, solo permita que usuarios de confianza creen contenido en Indico. Tenga en cuenta que una conferencia que realiza una Convocatoria de Resúmenes invita activamente a ponentes externos (a quienes los organizadores quizás no conozcan y, por lo tanto, no puedan confiar plenamente) a enviar contenido, de ahí la necesidad de actualizar a una versión corregida lo antes posible, en particular al utilizar dichos flujos de trabajo.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.60 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno