Dos nuevos avisos de seguridad y una actualización
Índice
- Cross-Site Scripting (XSS) almacenado en LUNA de Luna Imaging
- Inyección HTML en NICE Chat
- [Actualización 02/02/2026] Desbordamiento de búfer basado en pila en DIR-632 de D-Link
Cross-Site Scripting (XSS) almacenado en LUNA de Luna Imaging
LUNA, versión v7.5.5.6.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a LUNA software de Luna Imaging, Inc., un software para la gestión de activos digitales en museos, bibliotecas, archivos, instituciones culturales y colecciones especiales. La vulnerabilidad ha sido descubierta por Miguel Segovia Gil.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-41065: CVSS v4.0: 5.1| CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
No hay solución reportada por el momento.
CVE-2025-41065: Cross-Site Scripting (XSS) almacenado en el software LUNA v7.5.5.6. Esta vulnerabilidad permite a un atacante inyectar código JavaScript malicioso a través de la funcionalidad 'Edit Batch Name', quedando la carga útil almacenada de forma persistente en la aplicación. Posteriormente, el contenido se presenta a otros usuarios sin una validación ni desinfección adecuadas, lo que provoca la ejecución del código en el navegador de las víctimas. La explotación de esta vulnerabilidad podría permitir el robo de información sensible, como cookies de sesión, así como la ejecución de acciones arbitrarias en nombre del usuario afectado.
Inyección HTML en NICE Chat
NICE Chat System.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a NICE Chat, una solución de atención al cliente y centros de contacto. La vulnerabilidad ha sido descubierta por Leopoldo Angulo Gallego (leoanggal1).
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-59902: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-79
No hay solución reportada por el momento.
CVE-2025-59902: vulnerabilidad de inyección HTML en NICE Chat. Esta vulnerabilidad permite a un atacante inyectar y renderizar contenido HTML arbitrario en transcripciones de correo electrónico modificando los parámetros 'firstName' y 'lastName' durante una sesión de chat. El HTML inyectado se incluye en el cuerpo del correo electrónico enviado por el sistema, lo que podría permitir ataques de phishing, suplantación de identidad o robo de credenciales.
[Actualización 02/02/2026] Desbordamiento de búfer basado en pila en DIR-632 de D-Link
- Routers DIR-632 de D-Link con firmware 103B08;
- DIR-615;
- DIR-825KR;
- EBR-2310.
Se ha descubierto una vulnerabilidad de severidad crítica que afecta a los routers DIR-632, DIR-615, DIR-825KR y EBR-2310 de D-Link y que, en caso de ser explotada, comprometería la confidencialidad, integridad y/o disponibilidad de los sistemas.
El dispositivo afectado ha llegado al final de su vida útil (EOL, End Of Life) y no se espera que vaya a ser actualizado. Por lo que la única opción que existe actualmente es cambiar este objeto por un producto alternativo que sí cuente con soporte.
En la función 'get_pure_content' del componente 'HTTP POST Request Handler' si se manipula el argumento 'Content-Length' con una entrada desconocida deriva en una vulnerabilidad de desbordamiento del búfer basado en pila. Esta vulnerabilidad se puede explotar en remoto sin necesidad de autenticación.
A esta vulnerabilidad se le ha asignado el identificador CVE-2025-6121.
Existe una prueba de concepto de la vulnerabilidad, por lo que no se descarta que pueda estar siendo explotada.