Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en productos de Issabel
  • Múltiples vulnerabilidades en Telco Service Orchestrator de HPE

Múltiples vulnerabilidades en productos de Issabel

Fecha01/10/2025
Importancia3 - Media
Recursos Afectados
  • Issabel, módulo issabel-pbx, versiones anteriores a 5.0.0-2.
  • Issabel, módulo issabel-agenda, versiones anteriores a 5.0.0-4.
Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad media, que afectan a Issabel, un software de comunicaciones unificadas. Las vulnerabilidades han sido descubiertas por Oriol Vilella Jam.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-40647: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
  • CVE-2025-40648: 4.8 | CVSS AV:N/AC:L/AT:N/PR:H/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

Las vulnerabilidades han sido solucionadas por el equipo de Issabel en el módulo issabel-pbx versión 5.0.0-2 y en el módulo issabel-agenda versión 5.0.0-4.

Detalle

Vulnerabilidades de Cross-Site Scripting (XSS) almacenado en Issabel v5.0.0, que consiste en un XSS almacenado debido a la falta de validación adecuada de las entradas del usuario. La relación de parámetros e identificadores asignados es la siguiente:

  • CVE-2025-40647: parámetro 'email' en '/index.php?menu=address_book'.
  • CVE-2025-40648: parámetro 'numero_conferencia' en '/index.php?menu=conferencia'.

Múltiples vulnerabilidades en Telco Service Orchestrator de HPE

Fecha01/10/2025
Importancia5 - Crítica
Recursos Afectados

HPE Telco Service Orchestrator anterior a la versión 5.3.5.

Descripción

Hewlett Packard Enterprise ha publicado un aviso de seguridad con 4 vulnerabilidades: 1 de severidad crítica, 2 de severidad alta y 1 media que, de ser explotadas, podrían permitir una denegación de servicio (DoS), inyección SQL, divulgación de información sin necesidad de autenticación y la asignación de recursos sin límites ni restricciones.

Solución

Actualizar a la versión 5.3.5 o posterior.

Detalle

CVE-2025-54419: vulnerabilidad de severidad crítica que afecta a una librería SAML independiente de ningún framework que se ejecuta en Node. Esta vulnerabilidad permite a un atacante modificar los detalles de autenticación dentro de una aserción SAML válida. 

Se han asignado los identificadores CVE-2025-58754 y CVE-2025-5878 para las vulnerabilidades de severidad alta.