Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Cuatro nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en ViDay
  • Cross-origin resource sharing (CORS) en Sintra de Hiberus
  • Múltiples vulnerabilidades en productos de Creativeitem
  • Autenticación incorrecta en OpenSIAC del grupo GTT

Múltiples vulnerabilidades en ViDay

Fecha02/10/2025
Importancia4 - Alta
Recursos Afectados

ViDay.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades, 1 de severidad alta y 1 de severidad media, que afectan a ViDay, una app de reservas. Las vulnerabilidades han sido descubiertas por Carolina Gómez Uriarte y Gema de la Fuente Romero.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-40645: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-200
  • CVE-2025-40646: 5.9 | CVSS AV:A/AC:H/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-200
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2025-40645: exposición de información sensible en Viday. Esta vulnerabilidad podría permitir a un atacante no autenticado obtener información sensible sobre los clientes mediante el envío de una petición GET HTTP a '/api/reserva/web/clients' utilizando el parámetro 'phone'.
  • CVE-2025-40646: exposición de información sensible en Viday. Esta vulnerabilidad podría permitir a un atacante obtener información sensible sobre los clientes a través de la interceptación de peticiones HTTP y la búsqueda de la JWT que contiene información sensible del usuario en la carga útil JWT.

Cross-origin resource sharing (CORS) en Sintra de Hiberus

Fecha02/10/2025
Importancia3 - Media
Recursos Afectados

Sintra

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Sintra de Hiberus, un sistema de reservas. La vulnerabilidad ha sido descubierta por Manuel Gomez Argandoña.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-41010: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N. | CWE-942.
Solución

No hay solución reportada por el momento.

Detalle

CVE-2025-41010: configuración incorrecta del intercambio de recursos entre orígenes (CORS) en Sintra de Hiberus. El intercambio de recursos entre orígenes (CORS) permite a los navegadores realizar solicitudes entre dominios de forma controlada. Esta solicitud tiene un encabezado 'Origin' que identifica el dominio que realiza la solicitud inicial y define el protocolo entre un navegador y un servidor para ver si la solicitud está permitida. Un atacante puede aprovechar esto y posiblemente llevar a cabo acciones privilegiadas y acceder a información confidencial cuando está habilitado Access-Control-Allow-Credentials.

Múltiples vulnerabilidades en productos de Creativeitem

Fecha02/10/2025
Importancia3 - Media
Recursos Afectados
  • Ekushey CRM, versión 5.0;
  • Sociopro.
Descripción

INCIBE ha coordinado la publicación de 4 vulnerabilidades de severidad media que afectan a los productos Ekushey CRM y Sociopro de Creativeitem, plataforma para crear redes sociales privadas con funciones completas de interacción. Las vulnerabilidades han sido descubiertas por Gonzalo Aguilar García (6h4ack).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • De CVE-2025-40989 a CVE-2025-40992: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

No hay solución reportada por el momento.

Detalle
  • Ekushey CRM v5.0 de Creativeitem tiene 3 vulnerabilidades de tipo XSS almacenado producidas por una validación inadecuada de las entradas de usuario vía POST. La relación de parámetros e identificadores asignados es la siguiente:
    • CVE-2025-40989: parámetro 'message' en '/ekushey/index.php/client/project_message/add/xxx'.
    • CVE-2025-40990: parámetros 'title' y 'description' en '/ekushey/index.php/client/project_bug/create/xxx'.
    • CVE-2025-40991: parámetro 'description' en '/ekushey/index.php/client/project_file/upload/xxxx'.
  • CVE-2025-40992: vulnerabilidad de Cross-Site Scripting almacenado en Sociopro de Creativeitem, debido a una validación inadecuada de las entradas de usuario a través de '/sociopro/profile/update_profile',  en el parámetro 'name' enviado vía POST. Esta vulnerabilidad podría permitir a un usuario remoto enviar una consulta especialmente diseñada a un usuario autenticado y robar los detalles de su cookie de sesión.

Autenticación incorrecta en OpenSIAC del grupo GTT

Fecha02/10/2025
Importancia5 - Crítica
Recursos Afectados

OpenSIAC, versión 1.0.

Nota: el problema se limita a aquellos clientes que utilizan Cl@ve como sistema de identificación. Los clientes que utilizan OpenSIAC con otros sistemas de identificación, como VALIDe o certificado digital, no están afectados por esta vulnerabilidad ya resuelta.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta a OpenSIAC de grupo GTT, una plataforma de gobierno digital que se emplea para gestionar expedientes, trámites y servicios al ciudadano por parte de las Administraciones Públicas. La vulnerabilidad ha sido descubierta por David Manuel Herrera Rodríguez.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-41064: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-287
Solución

La vulnerabilidad ha sido solucionada por grupo GTT en la versión 1.2.

Detalle

CVE-2025-41064: vulnerabilidad de autenticación incorrecta en OpenSIAC, cuya explotación podría permitir a un atacante suplantar a una persona que utilice Cl@ve como método de autenticación.