Dos nuevos avisos de seguridad
Índice
- Algoritmo criptográfico no recomendado en Request Tracker de Best Practical Solutions
- Inyección SQL en ADOdb de PostgreSQL
Algoritmo criptográfico no recomendado en Request Tracker de Best Practical Solutions
- Request Tracker, versiones anteriores a la 5.0.8.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad baja que afecta a Request Tracker de Best Practical Solutions, un sistema de gestión de tickets. La vulnerabilidad ha sido descubierta por Ángel González Berdasco.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y tipo de vulnerabilidad CWE:
- CVE-2025-2545: CVSS v4.0: 2.3 | CVSS AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-327
La vulnerabilidad ha sido solucionada por el equipo de Best Practical Solutions, LLC en la versión 5.0.8.
CVE-2025-2545: vulnerabilidad en Request Tracker v5.0.7 de Best Practical Solutions, LLC, donde se utiliza el algoritmo criptográfico Triple DES (3DES) dentro del código SMIME para cifrar correos S/MIME. Triple DES se considera obsoleto e inseguro debido a su susceptibilidad a ataques de cumpleaños (birthday attack), que podrían comprometer la confidencialidad de los mensajes cifrados.
Inyección SQL en ADOdb de PostgreSQL
Paquete de adodb/adodb-php versiones 5.22.8 y anteriores en controladores PostgreSQL (postgres64, postgres7, postgres8, postgres9).
mrcnpp ha reportado una vulnerabilidad de severidad crítica que podría permitir a un atacante inyectar código SQL en la base de datos.
La vulnerabilidad se corrigió en ADOdb 5.22.9 (11107d6d6e5160b62e05dff8a3a2678cf0e3a426).
Existe una vulnerabilidad de inyección SQL en aplicaciones que usan ADOdb (una biblioteca PHP para acceso a bases de datos), específicamente cuando se trabaja con PostgreSQL y se utiliza la función pg_insert_id() con datos que vienen del usuario sin filtrar correctamente.
Se ha asignado el identificador CVE-2025-46337 para esta vulnerabilidad.