Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Cross-Site Scripting (XSS) en UltimatePOS
  • Múltiples vulnerabilidades en Gandia Integra Total de TESI

Cross-Site Scripting (XSS) en UltimatePOS

Fecha31/07/2025
Importancia3 - Media
Recursos Afectados

UltimatePOS, versión 6.4.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a UltimatePOS de UltimateFosters, un punto de ventas y ERP. La vulnerabilidad ha sido descubierta por Andrea Intilangelo (acme).

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-40980: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

La vulnerabilidad ha sido solucionada por el equipo de UltimateFosters en la versión 6.7.

Detalle

CVE-2025-40980: vulnerabilidad de Cross Site Scripting (XSS) almacenado en UltimatePOS de UltimateFosters, la vulnerabilidad se produce por la falta de validación adecuada de las entradas del usuario en “/products/<PRODUCT_ID>/edit”, afectando al parámetro “name” vía POST. Esta vulnerabilidad podría permitir a un atacante remoto enviar una consulta especialmente diseñada a un usuario autenticado y robar los detalles de sus cookies de sesión.

Múltiples vulnerabilidades en Gandia Integra Total de TESI

Fecha31/07/2025
Importancia5 - Crítica
Recursos Afectados

Gandia Integra Total, desde la versión 2.1.2217.3 hasta 4.4.2236.1.

Descripción

INCIBE ha coordinado la publicación de 8 vulnerabilidades, 2 de severidad crítica y 6 de severidad alta que afectan a Gandia Integra de TESI, un software para la gestión de encuestas y análisis de mercados, versiones desde la 2.1.2217.3 hasta 4.4.2236.1, las cuales han sido descubiertas por David Utón Amaya (m3n0sd0n4ld).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • De CVE-2025-41370 a CVE-2025-41371: CVSS v4.0: 9.3 | CVSS4.0 AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
  • De CVE-2025-41372 a CVE-2025-41377: CVSS v4.0: 8.7 | CVSS:4.0 AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
Solución

La vulnerabilidad ha sido solucionada por el equipo de TESI en la versión 4.4.2431.5.

Detalle

Se ha encontrado una vulnerabilidad de inyección SQL en Gandia Integra Total de TESI desde la versión 2.1.2217.3 hasta v4.4.2236.1. La vulnerabilidad permite a un atacante autenticado recuperar, crear, actualizar y eliminar bases de datos.

La relación de parámetros, endpoints e identificadores asignados es la siguiente:

  • Sin autenticación requerida:
    • CVE-2025-41370: parámetro 'idestudio' en /encuestas/integraweb/html/view/acceso.php.
    • CVE-2025-41371: parámetro 'idestudio' en /encuestas/integraweb_v4/integra/html/view/acceso.php.
  • Con autenticación:
    • CVE-2025-41372: parámetro 'idestudio' en /encuestas/integraweb[_v4]/integra/html/view/informe_campo_entrevistas.php.
    • CVE-2025-41373: parámetro 'idestudio' en /encuestas/integraweb[_v4]/integra/html/view/hislistadoacciones.php.
    • CVE-2025-41374: parámetro 'destudio' en /encuestas/integraweb[_v4]/integra/html/view/gestpaginasesp.php.
    • CVE-2025-41375: parámetro 'idestudio' en /encuestas/integraweb[_v4]/integra/html/view/consultaincimails.php.
    • CVE-2025-41376: parámetro 'idestudio' en /encuestas/integraweb[_v4]/integra/html/view/consultacuotasred.php.
    • CVE-2025-41377: parámetro 'idestudio' en /encuestas/integraweb[_v4]/integra/html/view/consultacuotas.php.