Dos nuevos avisos de seguridad
Índice
- Múltiples vulnerabilidades en Clinic Queuing System
- Múltiples vulnerabilidades en aplicaciones móviles de Fermax
Múltiples vulnerabilidades en Clinic Queuing System
Clinic Queuing System, versión 1.0.
INCIBE ha coordinado la publicación de 3 vulnerabilidades de severidad media, que afectan a Clinic Queuing System, un sistema que gestiona el flujo diario de colas de pacientes clínicos. Las vulnerabilidades han sido descubiertas por Rafael Pedrero.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- desde CVE-2025-2868 hasta CVE-2025-2870: CVSS v4.0: 4.8 | CVSS AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
No hay solución reportada por el momento.
Vulnerabilidad de Cross-Site Scripting (XSS) reflejado en la versión 1.0 de Clinic Queuing System. Esta vulnerabilidad podría permitir a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa. La relación de parámetros e identificadores asignados es la siguiente:
- CVE-2025-2868: parámetro page en /index.php;
- CVE-2025-2869: parámetro id en /manage_user.php;
- CVE-2025-2870: parámetro page en /patient_side.php.
Múltiples vulnerabilidades en aplicaciones móviles de Fermax
- Aplicación iOS DuoxMe, versiones anteriores a la 3.3.1.
- Servicio de Autenticación en productos MeetMe, versiones anteriores a la 2024-09
- Servicio de desvío llamadas en productos MeetMe, versiones anteriores a la 2024-09.
INCIBE ha coordinado la publicación de 4 vulnerabilidades, una de severidad alta y 3 de severidad media, que afectan a DuoxMe y MeetMe de Fermax, en servicios y aplicaciones móviles de videoporteros. Las vulnerabilidades han sido descubiertas por el equipo de ciberseguridad de Fermax.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-2908: CVSS v4.0: 6.9 | CVSS AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N. | CWE-312.
- CVE-2025-2909: CVSS v4.0: 8.5 | CVSS AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N. | CWE-522.
- CVE-2025-2910: CVSS v4.0: 5.3 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:L/SC:N/SI:N/SA:N. | CWE-307.
- CVE-2025-2911: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N. | CWE-204.
Las vulnerabilidades han sido solucionadas por el equipo de Fermax en la versión 3.3.1 de la aplicación de iOS DuoxMe y en la versión 2024-09 para los servicios de autenticación y desvío de llamadas en los productos MeetMe.
- CVE-2025-2908: la falta de cifrado en el binario de la aplicación DuoxMe (antes Blue) en versiones anteriores a la 3.3.1 para dispositivos iOS permite a un atacante obtener acceso no autorizado al código de la aplicación y descubrir información sensible.
- CVE-2025-2909: la exposición de credenciales en el módulo de configuración del servicio de desvío llamadas en los productos MeetMe en versiones anteriores a la 2024-09 permite a un atacante acceder a algunos activos importantes a través de archivos de configuración.
- CVE-2025-2910: el acceso no autorizado en el sistema de servicio de desvío llamadas en los productos MeetMe en versiones anteriores a la 2024-09 permite a un atacante identificar múltiples usuarios y realizar ataques de fuerza bruta a través de las extensiones.
- CVE-2025-2911: la enumeración de usuarios en el módulo de restablecimiento de las contraseñas en el servicio de autenticación de MeetMe en versiones anteriores a la 2024-09 permite a un atacante determinar si una dirección de correo electrónico está registrada a través de mensajes de error específicos.