Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Acceso no protegido a partes de la aplicación en Epsilon RH de Grupo Castilla
  • Omisión de autenticación en IBM Maximo Application Suite

Acceso no protegido a partes de la aplicación en Epsilon RH de Grupo Castilla

Fecha29/10/2025
Importancia3 - Media
Recursos Afectados

Epsilon RH, versiones anteriores a la 3.03.36.0186.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Epsilon RH de Grupo Castilla, programa para digitalizar y automatizar todos los procesos del departamento de gestión de personas. La vulnerabilidad ha sido descubierta por Oscar Atienza.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-12461: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-522
Solución

La vulnerabilidad ha sido solucionada por el equipo de Grupo Castilla en la versión 3.03.36.0186.

Detalle

CVE-2025-12461: la vulnerabilidad permite a un atacante acceder a partes de la aplicación que carecen de control de acceso. Si el atacante accede a la ruta web ‘…/epsilonnet/License/About.aspx’ puede obtener información de la licencia: versión del producto y módulos instalados.

Omisión de autenticación en IBM Maximo Application Suite

Fecha29/10/2025
Importancia5 - Crítica
Recursos Afectados
  • IBM Maximo Application Suite - Manage Component: versiones 9.0.0 a 9.0.15 - Manage 9.0.0 a 9.0.17.
  • IBM Maximo Application Suite - Manage Component: versiones 9.1.0 a 9.1.4 - Manage 9.1.0 a 9.1.4.
Descripción

IBM ha publicado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante eludir los mecanismos de autenticación y obtener acceso no autorizado.

Solución

IBM recomienda encarecidamente solucionar la vulnerabilidad ahora mismo actualizando a las siguientes versiones correctoras:

  • MAS 9.0;
  • MAS 9.1.
Detalle

Existe una vulnerabilidad en la aplicación IBM Maximo Manage de IBM Maximo Application Suite cuando se utiliza con Cognos Analytics independiente, donde se utiliza MXCSP para la integración. Un atacante remoto podría eludir los mecanismos de autenticación y obtener acceso no autorizado a Cognos Analytics.

Se ha asignado el identificador CVE-2025-36386 para esta vulnerabilidad.