Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Exposición de información en múltiples productos de Famatech Corp
  • Múltiples vulnerabilidades en 101news

Exposición de información en múltiples productos de Famatech Corp

Fecha03/03/2025
Importancia3 - Media
Recursos Afectados
  • Advanced IP Scanner: versiones 2.5.4594.1 y anteriores.
  • Advanced Port Scanner: versiones 2.5.3869 y anteriores.
Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Advanced IP Scanner y Advanced Port Scanner, un explorador de redes gratuito, la cual ha sido descubierta por Francisco Javier Medina Munuera, Pedro Gabaldón Juliá, Alejandro Baño Andrés y Antonio José Gálvez Sánchez.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-1868: CVSS v4.0: 6.9 | CVSS AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-200
Solución

La vulnerabilidad aún no ha sido solucionada, pero el equipo del Famatech Corp está trabajando en ello.

Detalle

CVE-2025-1868: vulnerabilidad de exposición de información confidencial no autorizada que afecta a Advanced IP Scanner y Advanced Port Scanner. Se produce cuando estas aplicaciones inician un escaneo de red, enviando inadvertidamente el hash NTLM del usuario que realiza el escaneo. Esta vulnerabilidad puede ser explotada interceptando el tráfico de red hacia un servidor legítimo o estableciendo un servidor falso, tanto en escenarios locales como remotos. Esta exposición es pertinente tanto para los protocolos HTTP/HTTPS como SMB.

Múltiples vulnerabilidades en 101news

Fecha03/03/2025
Importancia5 - Crítica
Recursos Afectados

101news, versión 1.0.

Descripción

INCIBE ha coordinado la publicación de 7 vulnerabilidades de severidad crítica, que afectan a 101 news desarrollado por Mayuri K, un portal de noticias en línea, las cuales han sido descubiertas por Rafael Pedrero.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • desde CVE-2025-1869 hasta CVE-2025-1875: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
Solución

No hay solución reportada por el momento.

Detalle

Se han encontrado varias vulnerabilidades de inyección SQL en 101news que afectan a la versión 1.0. La relación de parámetros e identificadores asignados es la siguiente:

  • CVE-2025-1869: parámetro "username" en admin/check_avalability.php.
  • CVE-2025-1870: parámetro "pagedescription" en admin/aboutus.php.
  • CVE-2025-1871: parámetros "category" y "subcategory" en admin/add-subcategory.php.
  • CVE-2025-1872: parámetro "sadminusername" en admin/add-subadmins.php.
  • CVE-2025-1873: parámetros "pagetitle" y "pagedescription" en admin/contactus.php.
  • CVE-2025-1874: parámetro "description" en admin/add-category.php.
  • CVE-2025-1875: parámetro "searchtitle" en search.php.