Cuatro nuevos avisos de seguridad
Índice
- Múltiples vulnerabilidades en Commvault
- Ejecución remota de código en Craft CMS
- Múltiples vulnerabilidades en Bookgy
- Escalada de privilegios locales en impresoras de EPSON
Múltiples vulnerabilidades en Commvault
Según la vulnerabilidad los productos afectados difieren aunque, en ambos casos, afecta tanto si el producto está instalado en sistemas Windows como Linux:
- Para la vulnerabilidad crítica CVE-2025-34028:
- Commvault Command Center, Innovation Release, versiones desde 11.38.0 hasta 11.38.19.
- Para la vulnerabilidad alta CVE-2025-3928:
- Commvault, maintenance release, versiones desde 11.36.0 hasta 11.36.45;
- Commvault, maintenance release, versiones desde 11.32.0 hasta 11.32.88;
- Commvault, maintenance release, versiones desde 11.28.0 hasta 11.28.140;
- Commvault, maintenance release, versiones desde 11.20.0 hasta 11.20.216.
Commvault tiene dos vulnerabilidades, una de ellas de severidad crítica descubierta por Sonny MacDonald de watchTowr, y la otra de severidad alta. Estas vulnerabilidades pueden permitir la ejecución remota de código sin autenticación y crear y ejecutar webshells.
Actualizar el producto a su versión no vulnerable:
- Commvault Command Center Installation, Innovation Release, versiones 11.38.20 y 11.38.25;
- Commvault, maintenance release, 11.36.46;
- Commvault, maintenance release, 11.32.89;
- Commvault, maintenance release, 11.28.141;
- Commvault, maintenance release, 11.20.217.
Las vulnerabilidades son:
- CVE-2025-34028: de severidad crítica, vulnerabilidad de salto de directorio, permite a un atacante no autenticado subir ficheros ZIP maliciosos que cuando se descomprimen en el servidor víctima permiten realizar una ejecución remota de código (RCE). La vulnerabilidad no afecta a otras instalaciones del mismo sistema.
- CVE-2025-3928: de severidad alta, los atacantes pueden comprometer los servidores web y, de esta forma, crear y ejecutar una webshell. Para poder explotar la vulnerabilidad es preciso que (1) el entorno sea accesible por Internet, (2) el atacante tenga credenciales de usuario autenticado. Hay evidencias de que esta vulnerabilidad está siendo explotada.
Ejecución remota de código en Craft CMS
Las siguientes versiones de Craft CMS están afectadas:
- desde la versión 3.0.0-RC1 hasta la 3.9.14, incluidas;
- desde la versión 4.0.0-RC1, hasta la 4.14.14, incluidas;
- desde la versión 5.0.0-RC1 hasta la 5.6.16, incluidas.
Craft CMS ha publicado una vulnerabilidad de severidad crítica que podría permitir a un atacante ejecutar código remoto.
Además, el fabricante afirma que existe evidencias de que la vulnerabilidad esta siendo explotada.
En función de la versión de la que se disponga, actualizar a las siguientes versiones de Craft CMS:
- 3.9.15;
- 4.14.15;
- 5.6.17.
La vulnerabilidad se basa en que un usuario, no autenticado, podría enviar una solicitud POST al endpoint responsable de la transformación de una imagen y el servidor interpretaría los datos de la solicitud. Estos datos se interpretan al crear el objeto de transformación. En las versiones afectadas el ID del activo se verifica antes de crear el objeto de transformación.
Se ha asignado el identificador CVE-2025-32432 para esta vulnerabilidad.
Múltiples vulnerabilidades en Bookgy
Bookgy (sin versionado específico).
INCIBE ha coordinado la publicación de 5 vulnerabilidades: 2 de severidad crítica y 3 de severidad media, que afectan a Bookgy, un software de gestión y reserva online, las cuales han sido descubierta por David Utón.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-40615 y CVE-2025-40616: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
- CVE-2025-40617 y CVE-2025-40618: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
- CVE-2025-40619: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-863
Las vulnerabilidades han sido solucionadas por el equipo de Bookgy en octubre de 2024 y ya no son explotables en la actualidad.
- Vulnerabilidad de Cross-Site Scripting (XSS) reflejado en Bookgy. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa. La relación de parámetros e identificadores asignados es la siguiente:
- CVE-2025-40615: parámetro TEXTO en /api/api_ajustes.php.
- CVE-2025-40616: parámetro IDRESERVA en /bkg_imprimir_comprobante.php.
- Vulnerabilidad de inyección SQL en Bookgy. Esta vulnerabilidad podría permitir a un atacante recuperar, crear, actualizar y eliminar bases de datos mediante el envío de una petición HTTP. La relación de parámetros e identificadores asignados es la siguiente:
- CVE-2025-40617: parámetros IDTIPO, IDPISTA y IDSOCIO en /bkg_seleccionar_hora_ajax.php.
- CVE-2025-40618: parámetro IDRESERVA en /bkg_imprimir_comprobante.php
- CVE-2025-40619: se ha comprobado que la aplicación no contempla un correcto control de autorización en múltiples áreas de la aplicación. Esta deficiencia podría permitir que un actor malicioso, sin autenticación, llegue a áreas privadas y/o áreas destinadas a otro tipo de roles.
Escalada de privilegios locales en impresoras de EPSON
Impresoras EPSON con sistemas Windows configuradas en un idioma diferente al inglés.
Erkan Ekici ha descubierto esta vulnerabilidad, de severidad alta, que afecta a impresoras EPSON en sistemas Windows configuradas en un idioma diferente al inglés. En caso de ser explotada, un atacante podría ejecutar código arbitrario y realizar una escalada de privilegios.
Instalar el parche que soluciona este problema.
El fabricante recomienda que las actualizaciones de este producto se realicen a través de la herramienta actualización Epson Software Updater.
En las impresoras EPSON instaladas en sistemas Windows y configuradas en un idioma diferente al inglés es posible sobreescribir algunos ficheros DLL que gestiona el driver de la impresora y, de esta forma, escalar privilegios.
Se ha asignado el identificador CVE-2025-42598 para esta vulnerabilidad.