Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en Cisco Identity Services Engine (ISE)
  • Vulnerabilidad Cross-Site Scripting almacenado (Stored XSS) en Holded

Múltiples vulnerabilidades en Cisco Identity Services Engine (ISE)

Fecha06/02/2025
Importancia5 - Crítica
Recursos Afectados

Estas vulnerabilidades afectan a Cisco ISE y Cisco ISE Passive Identity Connector (ISE-PIC), independientemente de la configuración del dispositivo. Para obtener información sobre qué versiones de software de Cisco son vulnerables, consulte la sección "Fixed Software" del aviso enlazado en referencias. 

Descripción

Dan Marin y Sebastian Radulea de Deloitte han informado de 2 vulnerabilidades de severidad crítica que podrían permitir que un atacante remoto autenticado ejecute comandos de forma arbitraria como usuario root en el dispositivo afectado, y también que pueda acceder a información sensible, modificar la configuración de los nodos y reiniciarlos.

Solución

Cisco ha publicado actualizaciones gratuitas que solucionan la vulnerabilidad.

No existe ninguna mitigación alternativa a parte de la actualización.

Detalle

Las vulnerabilidades son las siguientes, ambas catalogadas como críticas.

  • CVE-2025-20124: vulnerabilidad de deserialización de Java no segura en Cisco ISE. Una vulnerabilidad en una API de Cisco ISE podría permitir que un atacante remoto autenticado ejecute comandos arbitrarios como usuario root en un dispositivo afectado.
  • CVE-2025-20125: vulnerabilidad de omisión de autorización de Cisco ISE. Una vulnerabilidad en una API de Cisco ISE podría permitir que un atacante remoto autenticado con credenciales de solo lectura válidas obtenga información confidencial, cambie las configuraciones del nodo y reinicie el nodo.

Las vulnerabilidades son independientes entre sí, la explotación de una de ellas no requiere que la otra también deba ser explotada. Asimismo, para aprovechar estas vulnerabilidades con éxito, el atacante debe tener credenciales administrativas válidas de solo lectura.

Vulnerabilidad Cross-Site Scripting almacenado (Stored XSS) en Holded

Fecha06/02/2025
Importancia3 - Media
Recursos Afectados
  • Software Holded.
Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Holded, un software de facturación en la nube para pequeñas y medianas empresas, la cual ha sido descubierta por Jesús Alcalde Alcázar y Diego León Casas.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-1076 : CVSS v3.1: 4.8 | CVSS AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CWE-79
Solución

La configuración de CSP (Content Security Policy) implementada por Holded, está diseñada para prevenir la ejecución de scripts en línea y restringir la carga de scripts solo a dominios especificados en su whitelist. Esto mitiga eficazmente la mayoría de los vectores de ataque relacionados con la inyección de scripts, como es el caso de esta vulnerabilidad.

Detalle

CVE-2025-1076: una vulnerabilidad Cross-Site Scripting Almacenado (Stored XSS) ha sido encontrada en la aplicación de Holded. Esta vulnerabilidad podría permitir a un atacante almacenar una carga útil de Javascript dentro de los parámetros editables "name" e "icon" de las funcionalidad Actividades.