Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Cross-site Scripting (XSS) almacenado en WinPlus de Informática del Este
  • Múltiples vulnerabilidades en AIX de IBM

Cross-site Scripting (XSS) almacenado en WinPlus de Informática del Este

Fecha18/11/2025
Importancia5 - Crítica
Recursos Afectados

WinPlus versión 24.11.27.

Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad de severidad crítica, 2 de severidad alta y 2 de severidad media que afectan a WinPlus de Informática del Este, plataforma de gestión de recursos humanos, control horario, control de accesos y funcionalidad relacionada. La vulnerabilidad ha sido descubierta por Antonio Moreno Gómez.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-41346 CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-863
  • CVE-2025-41347: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-434
  • CVE-2025-41348: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
  • CVE-2025-41349 y CVE-2025-41350: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2025-41346: control de autorización defectuoso en el software WinPlus v24.11.27 de Informática del Este que permite suplantar a otro usuario con solo conocer su 'ID numérico', por lo que un atacante podría comprometer la cuenta de otro usuario, afectando así a la confidencialidad, integridad y disponibilidad de los datos alojados en la aplicación.
  • CVE-2025-41347: vulnerabilidad de carga ilimitada de archivos de tipo peligroso en WinPlus v24.11.27 de Informática del Este. Esta vulnerabilidad permite a un atacante cargar un 'webshell' mediante el envío de una solicitud POST en '/WinplusPortal/ws/sWinplus.svc/json/uploadfile'.
  • CVE-2025-41348: vulnerabilidad de inyección SQL en WinPlus v24.11.27 de Informática del Este. Esta vulnerabilidad permite a un atacante recuperar, crear, actualizar y eliminar bases de datos mediante el envío de una solicitud POST utilizando los parámetros 'val1' y 'cont' en '/WinplusPortal/ws/sWinplus.svc/json/getacumper_post'.
  • CVE-2025-41349 y CVE-2025-41350: vulnerabilidad de tipo Stored Cross-site Scripting (XSS) en WinPlus v24.11.27 de Informática del Este, que consiste en un XSS almacenado debido a la falta de una validación adecuada de las entradas del usuario mediante el envío de una solicitud POST utilizando el parámetro 'descripcion' en '/WinplusPortal/ws/sWinplus.svc/json/savesolpla_post' y '/WinplusPortal/ws/sWinplus.svc/json/savesoldoc_post'. Esta vulnerabilidad podría permitir a un usuario remoto enviar una consulta especialmente diseñada a un usuario autenticado y robar los detalles de su sesión de cookies.
     

Múltiples vulnerabilidades en AIX de IBM

Fecha18/11/2025
Importancia5 - Crítica
Recursos Afectados
  • AIX en las versiones 7.2.0 y 7.3.0.
  • VIOS en las versiones 3.1 y 4.1.
Descripción

IBM ha comunicado sobre 4 nuevas vulnerabilidades, 3 de ellas de severidad crítica y 1 de severidad alta. Explotar estas vulnerabilidades podría permitir a un atacante remoto ejecutar comandos arbitrarios, obtener claves privadas de Network Installation Manager (NIM) o recorrer los directorios del sistema comprometido. Estas vulnerabilidades solo pueden ser explotadas si un atacante tiene la capacidad de establecer conexión de red con el host afectado.

Solución
  • AIX en la versión 7.2.5 (APAR identificativo por IBM: IJ55968).
  • AIX en la versión 7.3.1 (APAR identificativo por IBM: IJ56230).
  • AIX en la versión 7.3.2 (APAR identificativo por IBM: IJ56113).
  • AIX en la versión 7.3.3 (APAR identificativo por IBM: IJ55897).
  • VIOS en la versión 3.1.4 (APAR identificativo por IBM: IJ55968).
  • VIOS en la versión 4.1.0 (APAR identificativo por IBM: IJ56113).
  • VIOS en la versión 4.1.1 (APAR identificativo por IBM: IJ55897).
Detalle

CVE-2025-36250: el servicio del servidor NIM de IBM AIX (conocido como NIM master) podría permitir a un atacante remoto ejecutar comandos arbitrarios debido a la ausencia de controles de proceso adecuados. Esta corrección aborda vectores de ataque adicionales para una vulnerabilidad previamente tratada en el CVE-2024-56346.

CVE-2025-36251: las implementaciones de SSL/TLS del servicio nimsh de IBM AIX podrían permitir que un atacante remoto ejecutara comando arbitrarios debido a unos controles de proceso inadecuados. Esta vulnerabilidad podría dar lugar a vectores de ataque adicionales para una vulnerabilidad previamente tratada en el CVE-2024-56347.

CVE-2025-36096: IBM AIX almacena de forma insegura las claves privadas NIM utilizadas en entornos NIM, por lo que son susceptibles de ser accedidas sin autorización por parte de un atacante mediante técnicas de ataque de intermediario (Man-in-the-Middle).

Se ha asignado el identificador CVE-2025-36236 para la vulnerabilidad de severidad alta.