Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades 0day en QConvergeConsole de Marvell
  • Inyección de cabecera Host (HHI) en el cliente VPN Hotspot Shield
  • Múltiples vulnerabilidades en QuiterWeb AutoWeb de Quiter

Múltiples vulnerabilidades 0day en QConvergeConsole de Marvell

Fecha30/06/2025
Importancia5 - Crítica
Recursos Afectados

QConvergeConsole de Marvell.

Descripción

kimiya y Andrea Micalizzi (rgod) han descubierto un total de 4 vulnerabilidades de severidad crítica que, en caso de ser explotadas, permitirían a atacantes remotos, no autenticados, ejecutar código arbitrario en las instalaciones afectadas del producto.

Solución

El producto ya no dispone de mantenimiento al haber llegado al final de su vida útil (EoL) y al final de su soporte (EoS) en la versión 5.5.0.85.

Detalle

Las vulnerabilidades son de severidad crítica y permiten a un atacante, no autenticado, ejecutar código como SYSTEM. Todas ellas se producen porque no se valida correctamente los datos proporcionados por el usuario, lo que deriva para las dos primeras vulnerabilidades en una deserialización de datos no confiables, para la tercera en la subida de ficheros arbitrarios y, en el caso de la última, lo que no se valida adecuadamente es la ruta proporcionada por el usuario antes de utilizarla en operaciones de archivo. Para cada identificador el método en el que se encuentra la vulnerabilidad es el siguiente:

  • CVE-2025-6809: readNICParametersFromFile;
  • CVE-2025-6808: readObjectFromConfigFile;
  • CVE-2025-6802: getFileFromURL;
  • CVE-2025-6794: saveAsText.

Inyección de cabecera Host (HHI) en el cliente VPN Hotspot Shield

Fecha30/06/2025
Importancia2 - Baja
Recursos Afectados

Cliente de VPN Hotspot Shield, versión 12.9.2.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad baja que afecta al cliente de VPN Hotspot Shield. La vulnerabilidad ha sido descubierta por Julen Garrido Estevez.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-40710: CVSS v4.0: 2.3 | CVSS AV:N/AC:H/AT:P/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N | CWE-74
     
Solución

No hay solución reportada por el momento.

Detalle

CVE-2025-40710: vulnerabilidad de tipo Host Header Injection (HHI) en el cliente VPN Hotspot Shield, que puede inducir comportamientos inesperados al acceder a aplicaciones web de terceros a través del túnel VPN.

Aunque dichas aplicaciones no presentan esta vulnerabilidad por sí mismas, el uso del túnel, junto con una cabecera Host falsificada, puede provocar que el cliente VPN redirija o reenvíe las peticiones HTTP a servidores distintos a los originalmente previstos, generando consecuencias como redirecciones abiertas o la entrega del tráfico a infraestructura controlada por un atacante. Esto no implica un fallo en las aplicaciones de destino, sino en cómo el cliente VPN maneja internamente las cabeceras y las peticiones salientes.

Múltiples vulnerabilidades en QuiterWeb AutoWeb de Quiter

Fecha30/06/2025
Importancia
Recursos Afectados

QuiterWeb AutoWeb, versión 7.0.

Descripción

INCIBE ha coordinado la publicación de 11 vulnerabilidades: 7 de severidad crítica y 4 de severidad media, que afectan a QuiterWeb AutoWeb de Quiter, una solución de software completa para la gestión de concesionarios y talleres de automóviles. Las vulnerabilidades han sido descubiertas por David Carrión Poza.

A estas vulnerabilidades se les ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y tipo de vulnerabilidad CWE:

  • CVE-2025-40711 hasta CVE-2025-40717: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
  • CVE-2025-40718: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-209
  • CVE-2025-40719 hasta CVE-2025-40721: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

No hay solución reportada por el momento.

Detalle
  • Vulnerabilidades de inyección SQL en QuiterWeb AutoWeb v7.0 de Quiter. Estas vulnerabilidades permiten a un atacante recuperar, crear, actualizar y eliminar bases de datos. La relación de parámetros e identificadores asignados es la siguiente:
    • CVE-2025-40711: parámetro id_concesion en /<Client>FacturaE/VerFacturaPDF.
    • CVE-2025-40712: parámetro id_concesion en /<Client>FacturaE/DescargarFactura.
    • CVE-2025-40713: parámetro campo en /<Client>FacturaE/BusquedasFacturasSesion.
    • CVE-2025-40714: parámetro id_factura en /<Client>FacturaE/listado_facturas_ficha.jsp.
    • CVE-2025-40715: parámetro mensaje en /QISClient/api/v1/sucesospaginas.
    • CVE-2025-40716: parámetro suceso.contenido in /QMSCliente/Sucesos.action.
    • CVE-2025-40717: parámetro pagina.filter.categoria en /QuiterGatewayWeb/api/v1/sucesospagina.
  • CVE-2025-40718: vulnerabilidad de gestión de errores inadecuada en QuiterWeb AutoWeb v7.0 de Quiter. Esta vulnerabilidad permite a un atacante enviar cargas útiles malformadas para generar mensajes de error que contengan información confidencial.
  • Vulnerabilidades Cross-site Scripting (XSS) reflejado en QuiterWeb AutoWeb v7.0 de Quiter. Estas vulnerabilidades permiten a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa. La relación de parámetros e identificadores asignados es la siguiente:
    • CVE-2025-40719: parámetro id_concesion en /<Client>FacturaE/VerFacturaPDF.
    • CVE-2025-40720: parámetro campo en /<Client>FacturaE/VerFacturaPDF.
    • CVE-2025-40721: parámetro id_factura en /<Client>FacturaE/listado_facturas_ficha.jsp.