Dos nuevos avisos de seguridad
Índice
- Múltiples vulnerabilidades en EmbedAI
- Múltiples vulnerabilidades en BIND 9
Múltiples vulnerabilidades en EmbedAI
- EmbedAI, versiones anteriores a la 2.1.
INCIBE ha coordinado la publicación de 9 vulnerabilidades, 5 de severidad alta y 4 de severidad media, que afectan a EmbedAI, una herramienta para la creación de chatbots, las cuales han sido descubierta por David Utón Amaya (m3n0sd0n4ld).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad.
- CVE-2025-0739: CVSS v3.1: 8.6 | CVSS AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N. | CWE-284
- CVE-2025-0740: CVSS v3.1: 8.6 | CVSS AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N. | CWE-284
- CVE-2025-0741: CVSS v3.1: 5.8 | CVSS AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N. | CWE-284
- CVE-2025-0742: CVSS v3.1: 5.8 | CVSS AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N. | CWE-284
- CVE-2025-0743: CVSS v3.1: 5.3 | CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N. | CWE-284
- CVE-2025-0744: CVSS v3.1: 7.5 | CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N. | CWE-284
- CVE-2025-0745: CVSS v3.1: 7.5 | CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N. | CWE-284
- CVE-2025-0746: CVSS v3.1: 6.1 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N. | CWE-79
- CVE-2025-0747: CVSS v3.1: 8.6 | CVSS AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N. | CWE-79
La vulnerabilidad ha sido solucionada por el equipo de EmbedAI en la versión 2.1.
- CVE-2025-0739: vulnerabilidad de control de acceso inadecuado en EmbedAI. Esta permite a un atacante autenticado mostrar información de suscripción de otros usuarios modificando el parámetro "SUSCBRIPTION_ID" del endpoint "/demos/embedai/subscriptions/show/<SUSCBRIPTION_ID>".
- CVE-2025-0740: vulnerabilidad de control de acceso inadecuado en EmbedAI. Esta permite a un atacante autenticado obtener mensajes de chat pertenecientes a otros usuarios modificando el "CHAT_ID" del endpoint "/embedai/chats/load_messages?chat_id=<CHAT_ID>".
- CVE-2025-0741: vulnerabilidad de control de acceso inadecuado en EmbedAI. Esta permite a un atacante autenticado escribir mensajes en el chat de otros usuarios modificando el parámetro "chat_id" de la solicitud POST "/embedai/chats/send_message".
- CVE-2025-0742: vulnerabilidad de control de acceso inadecuado en EmbedAI. Esta permite a un atacante autenticado obtener archivos almacenados por otros usuarios modificando el "FILE_ID" del endpoint "/embedai/files/show/<FILE_ID>".
- CVE-2025-0743: vulnerabilidad de control de acceso inadecuado en EmbedAI. Esta permite a un atacante autenticado aprovechar el endpoint "/embedai/visits/show/<VISIT_ID>" para obtener información sobre las visitas realizadas por otros usuarios. La información proporcionada por este endpoint incluye la dirección IP, el userAgent y la ubicación del usuario que visitó la página web.
- CVE-2025-0744: vulnerabilidad de control de acceso inadecuado en EmbedAI. Esta permite a un atacante autenticado cambiar su plan de suscripción sin pagar realizando una solicitud POST modificando los parámetros del endpoint "/demos/embedai/pmt_cash_on_delivery/pay".
- CVE-2025-0745: vulnerabilidad de control de acceso inadecuado en EmbedAI. Esta permite a un atacante autenticado obtener las copias de seguridad de la base de datos solicitando el endpoint "/embedai/app/uploads/database/<SQL_FILE>".
- CVE-2025-0746: vulnerabilidad de Cross Site Scripting reflejada en EmbedAI. Esta permite a un atacante autenticado crear una URL maliciosa aprovechando el punto de conexión "/embedai/users/show/<SCRIPT>" para inyectar el código JavaScript malicioso. Este código JavaScript se ejecutará cuando un usuario abra la URL maliciosa.
- CVE-2025-0747: vulnerabilidad de Cross Site Scripting almacenada en EmbedAI. Esta permite a un atacante autenticado inyectar un código JavaScript malicioso en un mensaje que se ejecutará cuando un usuario abra el chat.
Múltiples vulnerabilidades en BIND 9
- Versiones afectadas por la vulnerabilidad CVE-2024-11187 (no se evaluaron las versiones anteriores a 9.11.37):
- desde 9.11.0 hasta 9.11.37;
- desde 9.16.0 hasta 9.16.50;
- desde 9.18.0 hasta 9.18.32;
- desde 9.20.0 hasta 9.20.4;
- desde 9.21.0 hasta 9.21.3.
- Versiones afectadas por la vulnerabilidad CVE-2024-12705 (no se evaluaron las versiones anteriores a la 9.18.27):
- desde 9.18.0 hasta 9.18.32;
- desde 9.20.0 hasta 9.20.4;
- desde 9.21.0 hasta 9.21.3.
BIND ha publicado 2 vulnerabilidades de severidad alta que, de ser explotadas, podrían degradar el rendimiento del servidor autorizado o provocar un alto uso de la CPU o de la memoria.
Actualizar a la versión parcheada más próxima a la versión actual de BIND 9 desplegada:
- 9.18.33.
- 9.20.5.
- 9.21.4.
La vulnerabilidad CVE-2024-11187 podría permitir la construcción de una zona de manera que ciertas consultas generen respuestas con un gran número de registros en la sección adicional. Un atacante que envíe múltiples consultas de este tipo podría hacer que el servidor autorizado consuma una cantidad desproporcionada de recursos para procesarlas.
La implementación de DNS sobre HTTPS presenta múltiples problemas bajo una carga elevada de consultas, lo que podría generar un uso excesivo de la CPU o la memoria. Esto impediría que otros clientes establezcan conexiones DoH, afectando gravemente el rendimiento y negando el acceso al servicio de resolución de DNS a usuarios legítimos. Esta vulnerabilidad ha sido identificada con el código CVE-2024-12705.