Cinco nuevos avisos de seguridad y una actualización
Índice
- Cross-Site Scripting (XSS) reflejado en SuiteCRM
- Inyección SQL en la plataforma de campus virtual de Diseño de Recursos Educativos
- Validación incorrecta de certificados OCSP en TheGreenBow VPN Client Windows Enterprise
- Múltiples vulnerabilidades en Dell Storage Manager
- Múltiples vulnerabilidades en Open5GS de NewPlane
- [Actualización 27/10/2025] Actualizaciones de seguridad de Microsoft de octubre de 2025
Cross-Site Scripting (XSS) reflejado en SuiteCRM
- SuiteCRM, versiones anteriores a 7.14.1;
- SuiteCRM, versiones anteriores a 8.8.1.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a SuiteCRM, una herramienta de gestión de relaciones con clientes. La vulnerabilidad ha sido descubierta por Sergio Marín Martínez.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-41384 : CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Las vulnerabilidades han sido solucionadas por el equipo de SuiteCRM en la versión 7.14.7 y 8.8.1.
CVE-2025-41384: vulnerabilidad de Cross-Site Scripting (XSS) reflejada en SuiteCRM v7.14.1. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript modificando el encabezado HTTP Referer para incluir un dominio arbitrario con código JavaScript malicioso al final. El servidor intentará bloquear el dominio arbitrario pero permitirá que se ejecute el código JavaScript.
Inyección SQL en la plataforma de campus virtual de Diseño de Recursos Educativos
Plataforma de campus virtual.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta a la Plataforma de campus virtual de DRED, un espacio virtual para el proceso formativo. La vulnerabilidad ha sido descubierta por Gonzalo Aguilar García (6h4ack).
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-41009: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
No hay solución reportada por el momento.
CVE-2025-41009: vulnerabilidad de inyección SQL en la plataforma de campus virtual de DRED. Esta vulnerabilidad permite a un atacante recuperar, crear, actualizar y eliminar datos de la base de datos mediante el envío de una solicitud POST utilizando el parámetro ‘buscame’ en ‘/catalogo_c/catalogo.php’.
Validación incorrecta de certificados OCSP en TheGreenBow VPN Client Windows Enterprise
TheGreenBow VPN Client Windows Enterprise : versión 7.5 y 7.6.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a TheGreenBow VPN Client Windows Enterprise, un software de cliente de Red Privada Virtual (VPN) certificado para el sistema operativo Windows Enterprise.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-11955: CVSS v4.0: 8.2 | CVSS AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-299
La función que era vulnerable se ha eliminado en la siguiente versión menor (versión 7.7). Se reintroducirá correctamente en la siguiente versión mayor.
Para verificar la revocación de certificados, se recomienda utilizar la función de verificación CRL de los clientes VPN.
CVE-2025-11955: vulnerabilidad de validación incorrecta de certificados OCSP en TheGreenBow VPN, en sus versiones 7.5 y 7.6. Durante el paso de autenticación IKEv2, el cliente VPN con OCSP habilitado establece el túnel incluso si no recibe una respuesta OCSP o si la firma de la respuesta OCSP no es válida.
Múltiples vulnerabilidades en Dell Storage Manager
Dell Storage Manager, versiones anteriores a 2020 R1.21.
Dell ha informado de 3 vulnerabilidades que afectan a sus productos: 1 de severidad crítica, 1 alta y otra media. En caso de ser explotadas, las vulnerabilidades podrían permitir a un atacante sin autenticación acceder a un amplio conjunto de la API e incluso cambiar la contraseña de un usuario especial existente; o lograr la revelación de información.
Actualizar el producto a la versión 2020 R1.22 o posterior. Puede descargarse la última versión desde la página oficial de Dell.
- CVE-2025-43995: de severidad crítica. Vulnerabilidad de autenticación incorrecta, un atacante remoto no autenticado puede acceder a las APIs mostradas por ApiPoxy.war en DataCollectorEar.ear utilizando unos SessionKey y UserId especiales creados para usos específicos y, de esta forma realizar acciones como modificar la contraseña de algunos usuarios ya existentes.
- CVE-2025-43994: de severidad alta. Falta de autenticación para función crítica. Un atacante en remoto no autenticado potencialmente podría explotar esta vulnerabilidad, logrando una revelación de información.
La vulnerabilidad de severidad media tiene asignado el identificador CVE-2025-46425 y su detalle se puede consultar en los enlaces de las referencias.
Múltiples vulnerabilidades en Open5GS de NewPlane
Versiones anteriores a Open5GS 2.7.5.
INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad alta que afectan a Open5GS de NewPlane, un proyecto avanzado de código abierto diseñado para construir y gestionar tu propia red móvil NR/LTE. La vulnerabilidad ha sido descubierta por David Pérez Gago.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-41067 y CVE-2025-41068: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:L | CWE- 617
Las vulnerabilidades han sido solucionadas por el equipo de Open5GS en la versión v2.7.5.
CVE-2025-41067: vulnerabilidad de condición alcanzable (Reachable Assertion) en Open5GS hasta la versión 2.7.5 permite a los atacantes con conectividad al NRF provocar una denegación de servicio. Una petición SBI que elimina el registro del propio NRF provoca una comprobación que termina colapsando el proceso del NRF y deja el servicio de descubrimiento no disponible.
CVE-2025-41068: vulnerabilidad de condición alcanzable (Reachable Assertion) en Open5GS hasta la versión 2.7.5 permite a los atacantes con conectividad al NRF provocar una denegación de servicio. Esto se consigue al enviar por SBI la creación de un NF con un tipo inválido y posteriormente pedir sus datos, el NRF ejecuta una comprobación que colapsa el proceso, dejando el servicio de descubrimiento sin respuesta.
[Actualización 27/10/2025] Actualizaciones de seguridad de Microsoft de octubre de 2025
- .NET
- .NET, .NET Framework, Visual Studio
- ASP.NET Core
- Active Directory Federation Services
- Agere Windows Modem Driver
- Azure Connected Machine Agent
- Azure Entra ID
- Azure Local
- Azure Monitor
- Azure Monitor Agent
- Azure PlayFab
- Confidential Azure Container Instances
- Connected Devices Platform Service (Cdpsvc)
- Copilot
- Data Sharing Service Client
- GitHub
- Inbox COM Objects
- Internet Explorer
- JDBC Driver for SQL Server
- Microsoft Brokering File System
- Microsoft Configuration Manager
- Microsoft Defender for Linux
- Microsoft Exchange Server
- Microsoft Failover Cluster Virtual Driver
- Microsoft Graphics Component
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office PowerPoint
- Microsoft Office SharePoint
- Microsoft Office Visio
- Microsoft Office Word
- Microsoft PowerShell
- Microsoft Windows
- Microsoft Windows Search Component
- Microsoft Windows Speech
- Network Connection Status Indicator (NCSI)
- NtQueryInformation Token function (ntifs.h)
- Redis Enterprise
- Remote Desktop Client
- Software Protection Platform (SPP)
- Storport.sys Driver
- Virtual Secure Mode
- Visual Studio
- Windows Ancillary Function Driver for WinSock
- Windows Authentication Methods
- Windows BitLocker
- Windows Bluetooth Service
- Windows COM
- Windows Cloud Files Mini Filter Driver
- Windows Connected Devices Platform Service
- Windows Core Shell
- Windows Cryptographic Services
- Windows DWM
- Windows DWM Core Library
- Windows Device Association Broker service
- Windows Digital Media
- Windows DirectX
- Windows ETL Channel
- Windows Error Reporting
- Windows Failover Cluster
- Windows File Explorer
- Windows Health and Optimized Experiences Service
- Windows Hello
- Windows High Availability Services
- Windows Hyper-V
- Windows Kernel
- Windows Local Session Manager (LSM)
- Windows Management Services
- Windows MapUrlToZone
- Windows NDIS
- Windows NTFS
- Windows NTLM
- Windows PrintWorkflowUserSvc
- Windows Push Notification Core
- Windows Remote Access Connection Manager
- Windows Remote Desktop
- Windows Remote Desktop Protocol
- Windows Remote Desktop Services
- Windows Remote Procedure Call
- Windows Resilient File System (ReFS)
- Windows Resilient File System (ReFS) Deduplication Service
- Windows Routing and Remote Access Service (RRAS)
- Windows SMB Client
- Windows SMB Server
- Windows SSDP Service
- Windows Server Update Service
- Windows StateRepository API
- Windows Storage Management Provider
- Windows Taskbar Live
- Windows USB Video Driver
- Windows Virtualization-Based Security (VBS) Enclave
- Windows WLAN Auto Config Service
- XBox Gaming Services
- Xbox
La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 14 de octubre, consta de 175 vulnerabilidades (con CVE asignado), calificadas 5 como críticas, 121 como altas, 46 como medias y 3 como bajas.
Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.
[Actualización 27/10/2025]
Para abordar de forma integral la vulnerabilidad CVE-2025-59287, Microsoft ha lanzado una actualización de seguridad fuera de ciclo para las siguientes versiones compatibles de Windows Server: Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2022, 23H2 Edition (instalación de Server Core) y Windows Server 2025. Tenga en cuenta que será necesario reiniciar el sistema después de instalar las actualizaciones.
Las vulnerabilidades de severidad crítica publicadas tienen asignados los siguientes identificadores y descripciones:
- CVE-2025-49708: vulnerabilidad de escalada de privilegios en Microsoft Graphics Component.
- CVE-2025-55315: vulnerabilidad de omisión de característica de seguridad en ASP.NET.
- CVE-2025-59218: Vulnerabilidad de escalada de privilegios en Azure Entra ID.
- CVE-2025-59246: Vulnerabilidad de escalada de privilegios en Azure Entra ID.
Existen dos vulnerabilidades de severidad alta que podrían estar siendo explotadas:
- CVE-2025-24990: Vulnerabilidad de escalada de privilegios en Windows Agere Modem Driver.
- CVE-2025-59230: Vulnerabilidad de escalada de privilegios en Windows Remote Access Connection Manager.
Los códigos CVE asignados a las vulnerabilidades no críticas reportadas pueden consultarse en las referencias.
[Actualización 27/10/2025]
Existen evidencias de que la vulnerabilidad de severidad crítica, CVE-2025-59287, de ejecución remota de código en Windows Server Update Service (WSUS) ha sido explotada. Los atacantes aprovecharon los puntos finales de WSUS expuestos para enviar solicitudes especialmente diseñadas (múltiples llamadas POST a servicios web de WSUS) que activaron una RCE de deserialización contra el servicio de actualización.