Instituto Nacional de ciberseguridad. Sección Incibe

Dos nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en productos de HPE
  • Múltiples vulnerabilidades en h6web de Grupo Anapi

Múltiples vulnerabilidades en productos de HPE

Fecha13/02/2025
Importancia5 - Crítica
Recursos Afectados

Versiones anteriores a la 3.1.13 de los productos:

  • HPE Unified OSS Console (UOC);
  • HPE Unified OSS Console Software Series.
Descripción

HPE ha identificado 4 vulnerabilidades, 2 de severidad crítica, una media y otra baja en HPE Unified OSS Console (UOC) y HPE Unified OSS Console Assurance Monitoring (UOCAM), que podrían permitir una ejecución de código remoto (RCE) y una denegación de servicio (DoS).

Solución

Actualizar a la versión 3.1.13 los productos afectados.

Detalle

Las vulnerabilidades de severidad crítica en Apache Tomcat ocurren debido a una condición de carrera entre el tiempo de uso y el tiempo de verificación. Este problema podría permitir una ejecución remota de código o causar una denegación de servicio. La falla se debe a que el sistema no diferencia entre mayúsculas y minúsculas en ciertas operaciones cuando el servlet predeterminado tiene permisos de escritura, lo cual no es la configuración por defecto.

Se han asignado los identificadores 2024-56337 y CVE-2024-50379 para estas vulnerabilidades.


Múltiples vulnerabilidades en h6web de Grupo Anapi

Fecha13/02/2025
Importancia5 - Crítica
Recursos Afectados
  • Aplicación h6web.
Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades: una de severidad crítica y otra de severidad media, que afectan a h6web de Grupo Anapi, una aplicación para gestionar cofradías y pagos en línea, las cuales han sido descubierta por Bertrand Lorente Yáñez.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-1270: CVSS v3.1: 9.1 | CVSS AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L | CWE-639
  • CVE-2025-1271: CVSS v3.1: 6.1 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79
Solución

El equipo de Grupo Anapi ha tomado las siguientes medidas:

  • la vulnerabilidad de Insecure Direct Object Reference ha sido deshabilitada por completo;
  • la vulnerabilidad de Cross-Site Scripting (XSS) ha sido solucionada en la última versión.
Detalle
  • CVE-2025-1270: la vulnerabilidad de referencia directa insegura a objetos (IDOR) en H6Web del grupo Anapi permite a un atacante autenticado acceder a la información de otros usuarios mediante una petición POST y la modificación del parámetro "pkrelacionado" en el endpoint "/h6web/ha_datos_hermano.php" para hacer referencia a otro usuario. Además, la primera solicitud también podría permitir al atacante suplantar la identidad de otros usuarios. Como resultado, todas las solicitudes realizadas después de la explotación de la vulnerabilidad IDOR se ejecutarán con los privilegios del usuario suplantado.
  • CVE-2025-1271: Cross-Site Scripting (XSS) reflejado en h6web del Grupo Anapi. Este fallo de seguridad podría permitir a un atacante inyectar código JavaScript malicioso en una URL. Cuando un usuario accede a dicha URL, el código inyectado se ejecuta en su navegador, lo que puede derivar en el robo de información sensible, la suplantación de identidad o la ejecución de acciones no autorizadas en nombre del usuario afectado.