Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Uso de credenciales en el código en productos de Cisco
  • Múltiples vulnerabilidades Cross-Site Scripting (XSS) almacenado en Flatboard de Flatboard Pro

Uso de credenciales en el código en productos de Cisco

Fecha03/07/2025
Importancia5 - Crítica
Recursos Afectados

Cisco Unified CM y Unified CM SME Engineering Special (ES): versiones 15.0.1.13010-1 a 15.0.1.13017-1.

Descripción

Cisco ha publicado una vulnerabilidad de severidad crítica que podría permitir que un atacante remoto, no autenticado, inicie sesión en un dispositivo afectado utilizando la cuenta root.

Solución

Actualizar a la versión 15SU3 (julio de 2025) o aplicar el archivo de parche: ciscocm.CSCwp27755_D0247-1.cop.sha512

Detalle

Esta vulnerabilidad se debe a la presencia de credenciales de usuario estáticas para la cuenta root, que fueron creadas para su uso durante el desarrollo. Una explotación exitosa generaría una entrada de registro en /var/log/active/syslog/secure para el usuario root con permisos de administrador. El registro de este evento está habilitado por defecto. Se ha asignado el identificador CVE-2025-20309 para esta vulnerabilidad.

Múltiples vulnerabilidades Cross-Site Scripting (XSS) almacenado en Flatboard de Flatboard Pro

Fecha03/07/2025
Importancia3 - Media
Recursos Afectados

Flatboard, versiones anteriores a la 3.2.2.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad media, que afectan a Flatboard de Flatboard Pro, un software rápido y ligero para foros de archivos en texto plano. Las vulnerabilidades han sido descubiertas por Rafael Pedrero.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-40722 y CVE-2025-40723: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

La vulnerabilidad ha sido solucionada por el equipo de Flatboard Pro en la versión 3.2.2.

Detalle

Vulnerabilidades de Cross-Site Scripting (XSS) almacenado en versiones anteriores a la 3.2.2 de Flatboard de Flatboard Pro, que consisten en un XSS almacenado debido a la falta de validación adecuada de las entradas del usuario. La relación de parámetros e identificadores asignados es la siguiente:

  • CVE-2025-40722: parámetro replace en /config.php/tags.
  • CVE-2025-40723: parámetros footer_text y announcement en config.php.