Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en Energy CRM de Status Tracker
  • Múltiples vulnerabilidades en Xibo CMS

Múltiples vulnerabilidades en Energy CRM de Status Tracker

Fecha10/10/2025
Importancia3 - Media
Recursos Afectados

Energy CRM, versión 2025.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad media, que afectan a Energy CRM de Status Tracker Ltd. Las vulnerabilidades han sido descubiertas por Andrea Intilangelo.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-40640 y CVE-2025-40643: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79.
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2025-40640: vulnerabilidad de Cross-Site Scripting (XSS) almacenado en Energy CRM v2025 de Status Tracker Ltd, que consiste en un XSS almacenado debido a la falta de validación adecuada de las entradas del usuario mediante el envío de una petición POST a ‘/crm/create_invoice_submit.php’, utilizando el parámetro 'customerName_0'. Esta vulnerabilidad podría permitir a un usuario remoto enviar una consulta especialmente diseñada a un usuario autenticado y robar los detalles de su cookie de sesión.
  • CVE-2025-40643: vulnerabilidad de Cross-Site Scripting (XSS) almacenado en Energy CRM v2025 de Status Tracker Ltd, que consiste en un XSS almacenado debido a la falta de validación adecuada de las entradas del usuario mediante el envío de una petición POST a ‘/crm/create_job_submit.php’, utilizando el parámetro ‘JobCreatedBy’. Esta vulnerabilidad podría permitir a un usuario remoto enviar una consulta especialmente diseñada a un usuario autenticado y robar los detalles de su cookie de sesión.

Múltiples vulnerabilidades en Xibo CMS

Fecha10/10/2025
Importancia3 - Media
Recursos Afectados
  • Xibo CMS, versiones anteriores a la 4.2.2.
Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad media, que afectan a Xibo CMS de Xibo Signage, un sistema de gestión de contenido. Las vulnerabilidades han sido descubiertas por Marina Fabregat Expósito.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-41088: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
  • CVE-2025-41089: CVSS v4.0: 4.8 | CVSS AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

Las vulnerabilidades han sido solucionadas por el equipo de Xibo Signage en la versión 4.2.2.

Detalle
  • CVE-2025-41088: Cross-Site Scripting (XSS) almacenado en Xibo CMS v4.1.2 de Xibo Signage, debido a la falta de validación adecuada de las entradas del usuario. Para explotar la vulnerabilidad el atacante debe crear una plantilla en la sección 'Templates', luego añadir un elemento de texto en la sección 'Global Elements', y finalmente modificar el campo 'Text' de la sección con el payload malicioso.
  • CVE-2025-41089: Cross-Site Scripting (XSS) reflejado en Xibo CMS v4.1.2 de Xibo Signage, debido a la falta de validación adecuada de las entradas del usuario. Para explotar la vulnerabilidad el atacante debe crear una plantilla en la sección 'Templates', luego añadir algún elemento que tenga el campo 'Configuration Name', como por ejemplo el widget 'Clock'. A continuación, modificar el campo 'Nombre de configuración' de la sección de la izquierda. 

Nota: el proveedor señala que la herramienta de editor de plantillas, y otras herramientas de contenido en el CMS, están diseñadas para permitir la entrada y ejecución de JavaScript, por lo que consideran este resultado como esperado.