Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en Wing FTP Server
  • Cross-Site Scripting (XSS) almacenado en Pharmacy POS PHP Script
  • Inyección SQL en SCATI Vision Web

Múltiples vulnerabilidades en Wing FTP Server

Fecha15/07/2025
Importancia5 - Crítica
Recursos Afectados

Versiones anteriores a la 7.4.4 de Wing FTP Server.

Descripción

Julien Ahrens, de RCE Security, han detectado 3 vulnerabilidades: 1 de severidad crítica, otra de severidad alta y otra media que, de ser explotadas, podrían permitir una ejecución remota de código.

Para la vulnerabilidad de severidad crítica se ha publicado una prueba de concepto que podría ser explotada.

Solución

Todos los errores se han corregido en la versión 7.4.4 de Wing FTP, excepto CVE-2025-47811.

Detalle

CVE-2025-47812: vulnerabilidad de severidad crítica en el endpoint "/loginok.html" ya que no maneja correctamente los bytes NULL al procesar el parámetro "user name". Esto podría permitir a un atacante inyectar código arbitrario en los archivos de sesión.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2025-47811.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2025-37813.

Cross-Site Scripting (XSS) almacenado en Pharmacy POS PHP Script

Fecha15/07/2025
Importancia3 - Media
Recursos Afectados

Pharmacy POS PHP Script.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Pharmacy POS PHP Script, una solución para agilizar las operaciones de una farmacia y mejorar el servicio al cliente. La vulnerabilidad ha sido descubierta por Gonzalo Aguilar García (6h4ack).

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-40724: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

La vulnerabilidad ha sido solucionada por el equipo de Pharmacy POS PHP Script en la última versión de software.

Detalle

CVE-2025-40724: vulnerabilidad de Cross-Site Scripting (XSS) almacenado en Pharmacy POS PHP Script. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa utilizando el parámetro u_medicine_name en /edit_medicine.php. Esta vulnerabilidad puede ser explotada para robar datos sensibles del usuario, como cookies de sesión o para realizar acciones en nombre del usuario.

Inyección SQL en SCATI Vision Web

Fecha15/07/2025
Importancia4 - Alta
Recursos Afectados

SCATI Vision Web, versiones desde la 4.8 hasta 7.2.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a SCATI Vision Web, un software para la gestión de cámaras de videovigilancia, en las versiones desde la 4.8 hasta la 7.2, la cual ha sido descubierta por Álex Rodríguez Pérez y Raúl Calvo Laorden.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-40735: CVSS v4.0: 8.3 | CVSS AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:H/SC:N/SI:N/SA:N | CWE-89
Solución

La vulnerabilidad ha sido solucionada por el equipo de SCATI Vision en la versión 7.3.1.0.

Detalle

CVE-2025-40735: vulnerabilidad de inyección SQL en SCATI Vision Web de SCATI Labs desde la versión 4.8 hasta la 7.2. Esta vulnerabilidad permite a un atacante exfiltrar algunos datos de la base de datos a través del parámetro "login" en el endpoint "/scatevision_web/index.php/loginForm".