Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de seguridad y una actualización

Índice

  • Ejecución remota de código en Web Help Desk de SolarWinds
  • Ejecución de código arbitrario en Master Data Management de IBM
  • Ataque de falsificación en múltiples productos de HPE
  • [Actualización 24/09/2025] Múltiples vulnerabilidades en e-TMS de AndSoft

Ejecución remota de código en Web Help Desk de SolarWinds

Fecha24/09/2025
Importancia5 - Crítica
Recursos Afectados

SolarWinds Web Help Desk 12.8.7 y todas las versiones anteriores.

Descripción

SolarWinds ha publicado un aviso de seguridad con una vulnerabilidad crítica que de ser explotada podría permitir una ejecución remota de código.

Solución

Actualizar a SolarWinds Web Help Desk 12.8.7 HF1.

Detalle

CVE-2025-26399: vulnerabilidad crítica de ejecución remota de código (RCE). Esta vulnerabilidad surge de la deserialización insegura de datos no confiables en el componente AjaxProxy, lo que permite a atacantes no autenticados ejecutar comandos arbitrarios en el sistema host. La naturaleza no autenticada de la vulnerabilidad y su accesibilidad a la red la convierten en una amenaza de alto riesgo que, si se explota, podría provocar movimiento lateral, exfiltración de datos o la interrupción de las operaciones de TI.

Ejecución de código arbitrario en Master Data Management de IBM

Fecha24/09/2025
Importancia5 - Crítica
Recursos Afectados

InfoSphere Master Data Management: versiones 11.6, 12.0 y 14.0.

Descripción

IBM ha publicado una vulnerabilidad de severidad crítica que podría permitir a un atacante ejecutar código arbitrario en el sistema.

Solución

IBM recomienda encarecidamente abordar la vulnerabilidad ahora aplicando una solución provisional o un paquete de soluciones actualmente disponible que contenga la corrección para APAR PH66674.

Se recomienda consultar el aviso oficial enlazado en referencias para conocer las soluciones provisionales y posteriormente, sus correcciones definitivas.

Detalle

CVE-2025-36038: la vulnerabilidad de severidad crítica de deserialización de datos no confiables podría permitir que un atacante remoto ejecute código arbitrario en el sistema con una secuencia de objetos serializados especialmente diseñada.

Ataque de falsificación en múltiples productos de HPE

Fecha24/09/2025
Importancia5 - Crítica
Recursos Afectados

Los siguientes productos HPE Aruba Networking:

  • EdgeConnect SD-WAN Gateway: versión 9.5.4.0 y anteriores.
  • EdgeConnect SD-WAN Orchestrator: versión 9.5.4.0 y anteriores.
  • Switches con AOS-CX:
    • versión 10.14.1000 y anteriores;
    • versión 10.13.1030 y anteriores;
    • versión 10.10.1130 y anteriores.
  • Puertas de enlace WLAN y SD-WAN que ejecutan AOS-10:
    • versión AOS-10.6.0.2 y anteriores;
    • versión AOS-10.4.1.3 y anteriores.
  • Controladores de movilidad que ejecutan AOS-8:
    • versión AOS-8.12.0.1 y anteriores;
    • versión AOS-8.10.0.13 y anteriores.
  • Puntos de acceso que ejecutan Instant AOS-8 y AOS-10:
    • versión 8.12.0.3 y anteriores;
    • versión 8.10.0.13 y anteriores;
    • versión 10.7.0.2 y anteriores;
    • versión 10.6.0.2 y anteriores;
    • versión 10.4.1.3 y anteriores.
  • AirWave Management Platform: versión 8.3.0.2 y anteriores.
  • ClearPass Policy Manager:
    • versión 6.12.1 y anteriores;
    • versión 6.11.8 y anteriores.
  • Aruba Fabric Composer: versión 7.1.0 y anteriores.
  • HPE Networking Instant On:
    • Serie de switches 1930 y 1960 con firmware 3.0.0.0 y anteriores en modo local (el modo en la nube no es vulnerable) utilizando los siguientes métodos de autenticación:
      • Autenticación AAA;
      • Autenticación basada en MAC.
    • Puntos de acceso con firmware 3.0.0.0 y anteriores.

Las versiones de producto que han alcanzado el fin de su vida útil (end of life) están afectadas por estas vulnerabilidades, salvo que se indique lo contrario.

Descripción

HPE ha publicado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a los atacantes acceder a recursos confidenciales de la red sin autenticación.

Solución

El equipo de HPE ha resuelto la vulnerabilidad reportada en las nuevas versiones de software de los productos HPE Aruba Networking. Consultar las referencias para la versión específica de cada producto afectado.

Detalle

Una vulnerabilidad en el protocolo RADIUS podría permitir a los atacantes acceder a recursos confidenciales de la red sin autenticación. Este ataque de falsificación, permite a un atacante MITM (Man In the Middle) forjar respuestas Access-Accept y obtener acceso no autorizado. Requiere interceptar la comunicación y explotar colisiones MD5 en el Response Authenticator.

Se ha asignado el identificador CVE-2024-3596 para esta vulnerabilidad.

[Actualización 24/09/2025] Múltiples vulnerabilidades en e-TMS de AndSoft

Fecha19/09/2025
Importancia5 - Crítica
Recursos Afectados
  • e-TMS, versión v25.03.
Descripción

INCIBE ha coordinado la publicación de 40 vulnerabilidades: 8 de severidad crítica, 1 alta y 31 de severidad media, que afectan a e-TMS de AndSoft, un software de gestión integrada de transporte. Las vulnerabilidades han sido descubiertas por Maximilian Hildebrand (m10x.de).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • de CVE-2025-59735 a CVE-2025-59742: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-77
  • CVE-2025-59743 a CVE-2025-59744: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
  • CVE-2025-59745: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-22
  • CVE-2025-59746: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-327
  • de CVE-2025-59747 a CVE-2025-59774: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución
Detalle
  • Vulnerabilidad de inyección de comandos del sistema operativo en e-TMS v25.03 de AndSoft. Esta vulnerabilidad permite a un atacante ejecutar comandos del sistema operativo en el servidor enviando una solicitud POST. La relación de parámetros e identificadores asignados es la siguiente:
    • CVE-2025-59735: parámetro 'm' en '/clt/LOGINFRM.ASP'.
    • CVE-2025-59736: parámetro 'm' en '/clt/LOGINFRM_DJO.ASP'.
    • CVE-2025-59737: parámetro 'm' en '/clt/LOGINFRM_LXA.ASP'.
    • CVE-2025-59738: parámetro 'm' en '/clt/LOGINFRM_BET.ASP'.
    • CVE-2025-59739: parámetro 'm' en '/clt/LOGINFRM_original.ASP'.
    • CVE-2025-59740: parámetro 'm' en '/clt/LOGINFRM_CAT.ASP'.
    • CVE-2025-59741: parámetro 'm' en '/CLT/LOGINERRORFRM.ASP'.
  • Vulnerabilidad de inyección SQL en e-TMS v25.03 de AndSoft. Esta vulnerabilidad podría permitir a un atacante recuperar, crear, actualizar y eliminar bases de datos mediante el envío de una solicitud POST. La relación de parámetros e identificadores asignados es la siguiente:
    • CVE-2025-59742: parámetro 'USRMAIL' en '/inc/login/TRACK_REQUESTFRMSQL.ASP'.
    • CVE-2025-59743: cookie 'SessionID' en '/inc/connect/CONNECTION.ASP'.
  • CVE-2025-59744: vulnerabilidad de recorrido de rutas en e-TMS v25.03 de AndSoft. Esta vulnerabilidad permite a un atacante acceder a archivos solo dentro de la raíz web utilizando el parámetro 'docurl' en '/lib/asp/DOCSAVEASASP.ASP'.
  • CVE-2025-59745: vulnerabilidad en el algoritmo criptográfico de e-TMS v25.03 de AndSoft, que utiliza MD5 para cifrar contraseñas. MD5 es un algoritmo hash criptográficamente vulnerable y ya no se considera seguro para el almacenamiento o la transmisión de contraseñas. Es vulnerable a ataques de colisión y puede descifrarse fácilmente con hardware moderno, lo que expone las credenciales de los usuarios a posibles riesgos.
  • Vulnerabilidad de tipo Cross Site Scripting (XSS) reflejada en e-TMS v25.03 de AndSoft. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa. La relación de parámetros e identificadores asignados es la siguiente:
    • CVE-2025-59746: parámetro 'm' en '/lib/asp/alert.asp'.
    • CVE-2025-59747: parámetro 'l' en '/clt/resetPassword.asp'.
    • CVE-2025-59748: parámetros 'l' y 'reset' en '/clt/changepassword.asp'.
    • CVE-2025-59749: parámetro 'l' en'/clt/TRACK_REQUEST.ASP'. l
    • parámetros 'l, demo, demo2, TNTLOGIN, UO y SuppConn' en:
      • CVE-2025-59750: '/clt/LOGINFRM.ASP'.
      • CVE-2025-59751: '/clt/LOGINFRM_DJO.ASP'.
      • CVE-2025-59752: '/clt/LOGINFRM_LXA.ASP'.
      • CVE-2025-59753: '/clt/LOGINFRM_BET.ASP'.
      • CVE-2025-59754: en'/clt/LOGINFRM_original.ASP'.
      • CVE-2025-59755: '/clt/LOGINFRM_CAT.ASP'.
      • CVE-2025-59756: 'SuppConn in /clt/LOGINFRM_CON.ASP'.
      • CVE-2025-59757: '/clt/LOGINFRM_CATOLD.ASP'.
      • CVE-2025-59758: '/clt/LOGINFRM_CYLOG.ASP'.
      • CVE-2025-59759: '/clt/LOGINFRM_DELCROIX.ASP'.
      • CVE-2025-59760: '/clt/LOGINFRM_DHL.ASP'.
      • CVE-2025-59761: '/clt/LOGINFRM_DLG.ASP'.
      • CVE-2025-59762: '/clt/LOGINFRM_EFLOG.ASP'.
      • CVE-2025-59763: '/clt/LOGINFRM_EK.ASP'.
      • CVE-2025-59764: '/clt/LOGINFRM_FCC.ASP'.
      • CVE-2025-59765: '/clt/LOGINFRM_LF.ASP'.
      • CVE-2025-59766: '/clt/LOGINFRM_LT.ASP'.
      • CVE-2025-59767: '/clt/LOGINFRM_LVE.ASP'.
      • CVE-2025-59768: '/clt/LOGINFRM_MNG.ASP'.
      • CVE-2025-59769: '/clt/LOGINFRM_MOL.ASP'.
      • CVE-2025-59770: '/clt/LOGINFRM_MON.ASP'.
      • CVE-2025-59771: '/clt/LOGINFRM_MRK.ASP'.
      • CVE-2025-59772: '/clt/LOGINFRM_SIL.ASP'.
      • CVE-2025-59773: '/clt/LOGINFRM_TP.ASP'.
      • CVE-2025-59774: '/clt/LOGINFRM_VON.ASP'.