Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Almacenamiento inseguro de información sensible en NTFS Tool
  • Múltiples vulnerabilidades en Softdial Contact Center

Almacenamiento inseguro de información sensible en NTFS Tool

Fecha18/03/2025
Importancia3 - Media
Recursos Afectados

NTFS Tool, versión 3.5.1.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a NTFS Tool, una herramienta de lectura y escritura de discos NTFS, la cual ha sido descubierta por Reza Rashidi, de Hazard Lab.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-2489: CVSS v4.0: 6.8 | CVSS AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-922
Solución

No hay solución reportada por el momento. 

Detalle

CVE-2025-2489: vulnerabilidad de almacenamiento inseguro de información en NTFS Tools versión 3.5.1. La explotación de esta vulnerabilidad podría permitir a un atacante conocer la contraseña del aplicativo, almacenada en /Users/user/Library/Application Support/ntfs-tool/config.json.

Múltiples vulnerabilidades en Softdial Contact Center

Fecha18/03/2025
Importancia4 - Alta
Recursos Afectados

Softdial Contact Center.

Descripción

INCIBE ha coordinado la publicación de 3 vulnerabilidades, 2 de severidad alta y una media, que afectan a Softdial Contact Center de Sytel Ltd, un software de gestión de contact centers. Estas vulnerabilidades han sido descubiertas por Víctor Rodríguez Carreño, del equipo de Telefónica Tech.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-2493: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-22
  • CVE-2025-2494: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-434
  • CVE-2025-2495: CVSS v4.0: 5.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2025-2493: Path Traversal en Softdial Contact Center de Sytel Ltd. Esta vulnerabilidad permite a un atacante manipular el parámetro "id" del endpoint "/softdial/scheduler/load.php" para navegar más allá del directorio deseado. Esto puede permitir el acceso no autorizado a archivos confidenciales fuera del alcance esperado, lo que supone un riesgo para la seguridad.
  • CVE-2025-2494: carga de archivos sin restricciones en Softdial Contact Center de Sytel Ltd. Esta vulnerabilidad podría permitir a un atacante cargar archivos al servidor a través del endpoint "/softdial/phpconsole/upload.php", que está protegido por autenticación básica HTTP. Los archivos se cargan en un directorio expuesto por la aplicación web, lo que puede resultar en la ejecución de código, otorgando al atacante control total sobre el servidor.
  • CVE-2025-2495: Cross-Site Scripting (XSS) almacenado en Softdial Contact Center de Sytel Ltd. Esta vulnerabilidad permite a un atacante cargar archivos XML en el servidor con código JavaScript inyectado a través del recurso "/softdial/scheduler/save.php". El código inyectado se ejecutará cuando el archivo subido se cargue a través del recurso "/softdial/scheduler/load.php" y puede redirigir a la víctima a sitios maliciosos o robar su información de inicio de sesión para suplantar su identidad.