Vulnerabilidad en Indico (CVE-2026-28352)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-306 Ausencia de autenticación para una función crítica

Fecha de publicación:

27/02/2026

Última modificación:

03/03/2026

Descripción

Indico es un sistema de gestión de eventos que utiliza Flask-Multipass, un sistema de autenticación multi-backend para Flask. En versiones anteriores a la 3.3.11, el endpoint de la API utilizado para gestionar series de eventos carece de una verificación de acceso, permitiendo acceso no autenticado/no autorizado a este endpoint. El impacto de esto se limita a obtener los metadatos (título, cadena de categoría, fecha de inicio/fin) para eventos en una serie existente, eliminar una serie de eventos existente y modificar una serie de eventos existente. Esta vulnerabilidad NO permite acceso no autorizado a eventos (más allá de los metadatos básicos mencionados anteriormente), ni ningún tipo de manipulación de datos visibles para el usuario en los eventos. La versión 3.3.11 corrige el problema. Como solución alternativa, utilice el servidor web para restringir el acceso al endpoint de la API de gestión de series.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno