Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Seis nuevos avisos de seguridad

Índice

  • Validación incorrecta de entrada en el servidor portable HTTP/Web de Zervit
  • Inyección SQL en Zeon Academy Pro de Zeon Global Tech
  • Cross-Site Scripting (XSS) reflejado en Semantic MediaWiki
  • Cross-Site Scripting reflejado en la aplicación de Navigate CMS
  • Inyección HTML en PHP Point Of Sale
  • Ruta de búsqueda sin comillas en CivetWeb

Validación incorrecta de entrada en el servidor portable HTTP/Web de Zervit

Fecha21/04/2026
Importancia4 - Alta
Recursos Afectados

Zervit

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a Zervit, un servidor portable HTTP/web. La vulnerabilidad ha sido descubierta por Rafael Pedrero.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-13826: CVSS v4.0: 8.2 | CVSS AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/AU:Y/R:U/V:D/RE:L | CWE-20
Solución

No hay solución reportada por el momento.

Detalle

CVE-2025-13826: el servidor portable HTTP/web de Zervit es vulnerable a ataques DoS remotos ante una solicitud de restablecimiento de la configuración. La vulnerabilidad se produce por una validación inadecuada de la entrada proporcionada por el usuario. Un atacante puede explotar esta vulnerabilidad enviando solicitudes maliciosas. Si se logra explotar la vulnerabilidad se puede hacer que la aplicación deje de responder, lo que deriva en una condición DoS. Es posible reiniciar manualmente la aplicación.

Inyección SQL en Zeon Academy Pro de Zeon Global Tech

Fecha21/04/2026
Importancia5 - Crítica
Recursos Afectados

Zeon Academy Pro

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta a Zeon Academy Pro de Zeon Global Tech, un sistema de gestión de escuelas. La vulnerabilidad ha sido descubierta por Gonzalo Aguilar García (6h4ack).

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-41029: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
Solución

No hay solución reportada por el momento.

Detalle

CVE-2025-41029: vulnerabilidad de inyección SQL en Zeon Academy Pro de Zeon Global Tech. Esta vulnerabilidad permite a un atacante recuperar, crear, actualizar y eliminar bases de datos mediante el envío de una solicitud POST utilizando el parámetro 'phonenumber' en '/private/continue-upload.php'.

Cross-Site Scripting (XSS) reflejado en Semantic MediaWiki

Fecha21/04/2026
Importancia3 - Media
Recursos Afectados

Semantic MediaWiki, versiones anteriores a 5.0.2.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media, que afecta a Semantic MediaWiki, una extensión de código abierto para MediaWiki (el software wiki de Wikipedia). La vulnerabilidad ha sido descubierta por Gonzalo Aguilar García (6h4ack).

A esta vulnerabilidad se les ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-10354: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

La vulnerabilidad ha sido solucionada por el equipo de Semantic MediaWiki en la versión 5.0.2.

Detalle

CVE-2025-10354: vulnerabilidad de Cross-Site Scripting (XSS) reflejada en Semantic MediaWiki. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa utilizando el parámetro del endpoint '/index.php/Speciaal:GefacetteerdZoeken'. Esta vulnerabilidad puede ser explotada para robar datos sensibles del usuario, como cookies de sesión, o para realizar acciones en nombre del usuario.

Cross-Site Scripting reflejado en la aplicación de Navigate CMS

Fecha21/04/2026
Importancia3 - Media
Recursos Afectados

Aplicación Navigate CMS en las versiones anteriores a 2.9.5.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a la aplicación de Navigate CMS, gestor de contenidos de código abierto. La vulnerabilidad ha sido descubierta por Gonzalo Aguilar García (6h4ack).

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-3317: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

La vulnerabilidad ha sido solucionada por el equipo de Navigate CMS en la versión 2.9.6.

Detalle

CVE-2026-3317: vulnerabilidad de Cross-Site Scripting (XSS) reflejada en Navigate Content Management System v2.9.4. La vulnerabilidad está presente en el endpoint '/blog' porque la entrada del usuario no se limpia adecuadamente a través de los parámetros de consulta diseñados. Esto da lugar a una representación HTML insegura, lo que podría permitir a un atacante remoto ejecutar código JavaScript en el navegador de la víctima.

Inyección HTML en PHP Point Of Sale

Fecha21/04/2026
Importancia3 - Media
Recursos Afectados

PHP Point Of Sale, versión 19.4.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a PHP Point Of Sale, un software para ventas. La vulnerabilidad ha sido descubierta por Gonzalo Aguilar García (6h4ack).

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-41011: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N | CWE-79 
Solución

No hay solución reportada por el momento.

Detalle

CVE-2025-41011: vulnerabilidad de inyección HTML en PHP Point Of Sale v19.4. Esta vulnerabilidad podría permitir a un atacante renderizar HTML en el navegador de la víctima debido a la falta de validación adecuada de la entrada del usuario mediante el envío de una solicitud a '/reports/generate/specific_customer', utilizando los parámetros 'start_date_formatted' y 'end_date_formatted'.

Ruta de búsqueda sin comillas en CivetWeb

Fecha21/04/2026
Importancia4 - Alta
Recursos Afectados

CivetWeb v1.16.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a CivetWeb, un servidor web. La vulnerabilidad ha sido descubierta por Rafael Pedrero.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-5789: CVSS v4.0: 8.5 | CVSS AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-428
Solución

No hay solución reportada por el momento.

Detalle

CVE-2026-5789: vulnerabilidad relacionada con una ruta de búsqueda sin comillas en CivetWeb v1.16. Esta vulnerabilidad permite a un atacante local ejecutar código arbitrario con privilegios elevados colocando un ejecutable malicioso en un directorio que se analiza antes de la ruta de la aplicación prevista (C:\Archivos de programa\CivetWeb\CivetWeb.exe --), debido a la ausencia de comillas en la configuración del servicio.