Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de seguridad

Índice

  • Limitación incorrecta de una ruta en E-Business Suite de Oracle
  • Múltiples vulnerabilidades en productos IBM
  • Múltiples vulnerabilidades en Negotiator de BBMRI-ERIC

Limitación incorrecta de una ruta en E-Business Suite de Oracle

Fecha07/10/2025
Importancia5 - Crítica
Recursos Afectados

Oracle E-Business Suite, versiones 12.2.3-12.2.14. (Componente: Integración de BI Publisher).

Descripción

Oracle a publicado una vulnerabilidad de severidad critica que podría permitir una ejecución remota de código.

Algunas fuentes afirman que esta vulnerabilidad podría estar siendo explotada, aunque Oracle no lo ha confirmado en su nota de seguridad.

Solución

Oracle a publicado un parche para solucionar esta vulnerabilidad.

 La actualización de parches críticos de octubre de 2023 es un requisito previo para la aplicación de esta actualización.

Detalle

CVE-2025-61882: esta vulnerabilidad se puede explotar remotamente sin autenticación y con acceso a la red vía HTTP. Es decir, a través de una red sin necesidad de nombre de usuario ni contraseña. Si se explota con éxito se podría obtener el control de Oracle Concurrent Processing y provocar la ejecución remota de código.

Múltiples vulnerabilidades en productos IBM

Fecha07/10/2025
Importancia5 - Crítica
Recursos Afectados

Para las vulnerabilidades CVE-2025-36354, CVE-2025-36355, CVE-2025-363546:

  • IBM Verify Identity Access Docker, versiones desde 11.0.0.0 hasta 11.0.1.0;
  • IBM Security Verify Access Docker, versiones desde 10.0.0.0 hasta 10.0.9.0-IF2;
  • IBM Verify Identity Access Appliance, versiones desde 11.0.0.0 hasta 11.0.1.0;
  • IBM Security Verify Access Appliance, versiones desde 10.0.0.0 hasta 10.0.9.0-IF2;

Para la vulnerabilidad CVE-2023-49886:

  • IBM Transformation Extender Advanced, versión 10.0.1.
Descripción

IBM ha publicado 2 avisos con 4 vulnerabilidades en total, 2 de ellas de severidad crítica y 2 alta. Las vulnerabilidades críticas, en caso de ser explotadas, podrían permitir a un atacante aumentar sus privilegios a root y ejecutar código arbitrario en el sistema afectado.

Solución

Actualizar el producto lo antes posible.

Para los productos Docker, se puede obtener la última versión ejecutando el comando 'docker pull icr.io/isva/verify-access:[etiqueta]' donde [etiqueta] es la última versión del producto que se puede consultar en: https://docs.verify.ibm.com/ibm-security-verify-access/docs/containers

Detalle

Las vulnerabilidades de severidad crítica son:

  • CVE-2025-36356: IBM Security Verify Access podría permitir a un usuario autenticado en local escalar sus privilegios a root por una ejecución con más privilegios de los necesarios.
  • CVE-2023-49886: IBM Standards Processing Engine podría permitir a un atacante remoto ejecutar código arbitrario en el sistema, producto de una deserialización java no segura. Con el envío de una entrada especialmente manipulada, un atacante podría explotar esta vulnerabilidad para ejecutar código arbitrario en el sistema.

Las vulnerabilidades de severidad alta tienen asignados los identificadores CVE-2025-36355 y CVE-2025-36354 y su detalle se puede consultar en los enlaces de las referencias.

Múltiples vulnerabilidades en Negotiator de BBMRI-ERIC

Fecha07/10/2025
Importancia3 - Media
Recursos Afectados

Negotiator, versiones anteriores a la 3.15.5.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad media, que afectan a Negotiator de BBMRI-ERIC, una solución de negociación de acceso de código abierto adaptada a las infraestructuras de investigación. Las vulnerabilidades han sido descubiertas por Erlaitz Parreño Muñoz.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-40649: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
  • CVE-2025-40676: CVSS v4.0: 5.3 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-639 
Solución

Las vulnerabilidades han sido solucionadas por el equipo de BBMRI-ERIC en la versión 3.15.5.

Detalle
  • CVE-2025-40649: Cross-Site Scripting (XSS) almacenado en Negotiator v3.15.2 de Biobanking y Biomolecular Resources - European Research Infrastructure (BBMRI-ERIC), que consiste en un XSS almacenado debido a la falta de validación adecuada de las entradas del usuario mediante el envío de una petición POST utilizando texto de parámetro en '/api/v3/negotiations/<postUID>/posts'. Esta vulnerabilidad podría permitir a un usuario remoto enviar una consulta especialmente diseñada a un usuario autenticado y robar los detalles de su sesión de cookies.
  • CVE-2025-40676: vulnerabilidad de referencia directa a objetos inseguras (IDOR) en Negotiator v3.15.2 de Biobanking y Biomolecular Resources - European Research Infrastructure (BBMRI-ERIC). Esta vulnerabilidad permite a un atacante acceder o modificar recursos no autorizados mediante la manipulación de peticiones que utilicen el parámetro 'userID' en '/api/v3/users/<userID>', lo que puede dar lugar a la exposición o alteración de datos sensibles.