Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en Perfex CRM
  • Múltiples vulnerabilidades en Apt-Cacher-NG

Múltiples vulnerabilidades en Perfex CRM

Fecha29/09/2025
Importancia3 - Media
Recursos Afectados

Perfex CRM, versión 3.2.1.

Descripción

INCIBE ha coordinado la publicación de 6 vulnerabilidades de severidad media que afectan a Perfex CRM de Perfex CRM, un sistema de gestión de relaciones con clientes. Las vulnerabilidades han sido descubiertas por Gonzalo Aguilar García (6h4ack).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • Desde CVE-2025-10341 hasta CVE-2025-10346: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N | CWE-79.
Solución

Las vulnerabilidades han sido solucionadas por el equipo dePerfex CRM en la última versión.

Detalle

Vulnerabilidad de inyección HTML almacenada en Perfex CRM v3.2.1 que consiste en una inyección HTML almacenada debido a la falta de validación adecuada de las entradas del usuario mediante el envío de una solicitud POST. La relación de parámetros e identificadores asignados es la siguiente:

  • CVE-2025-10341: parámetro 'company' en '/clients/client/x';
  • CVE-2025-10342: parámetro 'name' en '/subscriptions/create';
  • CVE-2025-10343: parámetro 'expense_name' en '/expenses/expense';
  • CVE-2025-10344: parámetros 'name' y “clientid” en '/projects/project/x';
  • CVE-2025-10345: parámetros 'name' y 'address' en '/incibe-cert/tags/leads/lead';
  • CVE-2025-10346: parámetro 'subject' en '/knowledge_base/article'.

Múltiples vulnerabilidades en Apt-Cacher-NG

Fecha29/09/2025
Importancia3 - Media
Recursos Afectados

Apt-Cacher-NG, versión 3.2.1.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades, ambas de severidad media, que afectan a Apt-Cacher-NG, un proxy de almacenamiento en caché para paquetes de software que se descargan mediante mecanismos de distribución del sistema Unix/Linux desde servidores espejo accesibles a través de HTTP. Las vulnerabilidades han sido descubiertas por Pablo Lago Romaní.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-11146 y CVE-2025-11147: CVSS v4.0: 5.1 | CVSS: AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

Las vulnerabilidades han sido solucionadas por el equipo de Apt-Cacher-NG en la última versión disponible.

Detalle
  • CVE-2025-11146 : Cross-Site scripting (XSS) reflejado en Apt-Cacher-NG v3.2.1. La vulnerabilidad permite a un atacante ejecutar scripts maliciosos (XSS) en la aplicación de gestión web. La vulnerabilidad se produce por una gestión inadecuada de las entradas GET incluidas en la URL en '/acng-report.html'.
  • CVE-2025-11147 : Cross-Site scripting (XSS) reflejado en Apt-Cacher-NG v3.2.1. La vulnerabilidad permite ejecutar scripts maliciosos (XSS) en '/html/<nombre_fichero>.html'.