Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Cockpit (CVE-2025-7053)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
04/07/2025
Última modificación:
08/07/2025

Descripción

Se encontró una vulnerabilidad en Cockpit hasta la versión 2.11.3. Se ha clasificado como problemática. Este problema afecta a un procesamiento desconocido del archivo /system/users/save. La manipulación del argumento name/email provoca ataques de cross-site-scripting. El ataque puede ejecutarse en remoto. Actualizar a la versión 2.11.4 soluciona este problema. El parche se llama bdcd5e3bc651c0839c7eea807f3eb6af856dbc76. Se recomienda actualizar el componente afectado. Se contactó al proveedor con prontitud para informarle sobre esta revelación y actuó con gran profesionalidad. Se publicó un parche y una nueva versión rápidamente.

Impacto

Puntuación base 4.0
5.10
Gravedad 4.0
MEDIA
Puntuación base 3.x
3.50
Gravedad 3.x
BAJA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA