Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de seguridad

Índice

  • Insecure Direct Object References (IDOR) en DeporSite de T-Innova
  • Cross-Site Scripting (XSS) en Omnichannel de xCally
  • Múltiples vulnerabilidades en el core de Drupal

Insecure Direct Object References (IDOR) en DeporSite de T-Innova

Fecha13/11/2025
Importancia3 - Media
Recursos Afectados

DeporSite versiones anteriores a v02.14.1115.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a DeporSite de T-Innova, un software para la gestión de centros deportivos. La vulnerabilidad ha sido descubierta por Pau Valls Peleteiro.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-41069: CVSS v4.0: 5.3 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N | CWE-639
Solución

El fabricante T-INNOVA asegura que la vulnerabilidad no se encuentra en la versión DSuite 2025 v02.14.1115.

Detalle

CVE-2025-41069: vulnerabilidad de referencias directas a objetos inseguras (IDOR) en T-Innova DeporSite. Esta vulnerabilidad permite a un atacante acceder o modificar recursos no autorizados mediante la manipulación de solicitudes utilizando el parámetro 'idUsuario' en '/ajax/TInnova_v2/Formulario_Consentimiento/llamadaAjax/obtenerDatosConsentimientos', lo que podría dar lugar a la exposición o alteración de datos confidenciales.

Cross-Site Scripting (XSS) en Omnichannel de xCally

Fecha13/11/2025
Importancia3 - Media
Recursos Afectados

Omnichannel, versión 3.30.1.

Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad de severidad media que afecta a Omnichannel de xCally, un software omnicanal para centros de contacto. La vulnerabilidad ha sido descubierta por Adrià Alavedra Palacios.

A esta vulnerabilidad se les han asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-40681: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

No hay solución reportada por el momento.

Detalle

CVE-2025-40681: vulnerabilidad de Cross-site Scripting (XSS) reflejado en xCally Omnichannel v3.30.1. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa utilizando el parámetro 'failureMessage' en '/login'. Esta vulnerabilidad puede ser explotada para robar datos sensibles del usuario, como cookies de sesión, o para realizar acciones en nombre del usuario.

Múltiples vulnerabilidades en el core de Drupal

Fecha13/11/2025
Importancia4 - Alta
Recursos Afectados
  • Versiones desde la 8.0.0 hasta la 10.4.9 (no incluida);
  • Versiones desde la 10.5.0 hasta la 10.5.6 (no incluida);
  • Versiones desde la 11.0.0 hasta la 11.1.9 (no incluida);
  • Versiones desde la 11.2.0 hasta la 11.2.8 (no incluida).
Descripción

Drupal ha publicado 4 vulnerabilidades de severidad alta que afectan a su núcleo y que de ser explotadas podrían permitir que las solicitudes legítimas reciban respuestas almacenadas en caché inapropiadas, ejecución remota de código, desfigurar el sitio o provocar que algunos usuarios obtengan versiones almacenadas en caché de archivos con información a la que no deberían tener acceso.

Solución

Actualizar a las versiones:

  • 10.4.9
  • 10.5.6
  • 11.1.9
  • 11.2.8

Drupal 11.0.x, Drupal 10.3.x y versiones anteriores han llegado al final de su ciclo de vida y no reciben cobertura de seguridad.

Detalle
  • CVE-2025-13080: esta vulnerabilidad de tipo envenenamiento de caché podría explotarse realizando un renderizado incorrecto de algunas páginas, disponiendo de páginas sin estilo o con formato incorrecto o impactando negativamente en la funcionalidad del lado del cliente.
  • CVE-2025-13081: el núcleo de Drupal contiene una cadena de métodos que se puede explotar cuando existe una vulnerabilidad de deserialización insegura en el sitio. Esto, que se conoce como "cadena de gadgets", no presenta una amenaza directa, pero es un vector que se puede usar para lograr la ejecución remota de código si la aplicación deserializa datos no confiables debido a otra vulnerabilidad.
  • CVE-2025-13082: Al generar y engañar a un usuario para que visite una URL maliciosa, un atacante puede desfigurar el sitio. La desfiguración no se almacena y solo está presente cuando la URL se ha creado para ese propósito.
  • CVE-2025-13083: El módulo principal 'system' gestiona las descargas de archivos privados y temporales. En algunos casos, los archivos pueden servirse con el encabezado HTTP de control de caché público ("Cache-Control: Public") cuando no deberían poder almacenarse en la caché. Esto puede provocar que algunos usuarios obtengan versiones almacenadas en caché de archivos con información a la que no deberían tener acceso. Por ejemplo, los archivos pueden ser almacenados en caché por Varnish o una CDN.