Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en Limesurvey
  • Múltiples vulnerabilidades en producto de VMware

Múltiples vulnerabilidades en Limesurvey

Fecha20/11/2025
Importancia3 - Media
Recursos Afectados

LimeSurvey, versión 6.13.0.

Descripción

INCIBE ha coordinado la publicación de 3 vulnerabilidades de severidad media que afectan a Limesurvey 6.13.0 de Limesurvey, una aplicación de encuestas en línea. Las vulnerabilidades han sido descubiertas por Julen Garrido Estevez.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-41074: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N | CWE-835
  • CVE-2025-41075: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N | CWE-835
  • CVE-2025-41076: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-209
Solución

Las vulnerabilidades han sido solucionadas por el equipo en la versión 6.15.0.

Detalle
  • Vulnerabilidad en LimeSurvey 6.13.0 que provoca redireccionamientos HTTP infinitos cuando se accede a él directamente. Este comportamiento puede aprovecharse para generar una condición de Denegación de Servicio (DoS) agotando los recursos del servidor o del cliente. El sistema no consigue romper el bucle de redireccionamiento, lo que puede provocar una degradación del servicio o inestabilidad del navegador.
    • CVE-2025-41074: en el endpoint '/optout'.
    • CVE-2025-41075: en el endpoint '/optin'.
  • CVE-2025-41076: En la versión 6.13.0 de LimeSurvey, cualquier usuario externo puede provocar un error 500 en el sistema de encuestas enviando una cookie de sesión mal formada. En lugar de mostrar un mensaje de error genérico, el sistema expone información interna del backend, incluyendo el uso del framework Yii, el motor de base de datos MySQL/MariaDB, el nombre de la tabla 'lime_sessions', las claves primarias y fragmentos del contenido que causó el conflicto. Esta información puede facilitar la recopilación de datos sobre la arquitectura interna de la aplicación por parte de un atacante.

Múltiples vulnerabilidades en producto de VMware

Fecha20/11/2025
Importancia5 - Crítica
Recursos Afectados

Versiones anteriores a:

  • VMware Tanzu Data Flow en la plataforma Tanzu 2.0.1;
  • .NET Core Buildpack 2.4.67;
  • .NET Core Buildpack 2.4.68.
Descripción

Broadcom ha publicado 5 notas de seguridad con 164 vulnerabilidades de las cuales 19 son de severidad crítica.

Solución

Actualizar a las siguientes versiones:

  • VMware Tanzu Data Flow en la plataforma Tanzu 2.0.1;
  • .NET Core Buildpack 2.4.67;
  • .NET Core Buildpack 2.4.68.
Detalle
  • CVE-2025-55754: neutralización incorrecta de secuencias de escape, meta o control en Apache Tomcat. un atacante podía usar una URL especialmente diseñada para inyectar secuencias de escape ANSI, manipular la consola y el portapapeles e intentar engañar a un administrador para que ejecutara un comando controlado por el atacante.
  • CVE-2024-43498: ejecución remota de código en .NET y Visual Studio.
  • CVE-2024-3566: vulnerabilidad de inyección de comandos que permite a un atacante realizar inyecciones de comandos en aplicaciones de Windows que dependen indirectamente de la función CreateProcess cuando se cumplen ciertas condiciones.
  • CVE-2024-21896: vulnerabilidad de recorrido de directorios. Esta vulnerabilidad afecta a todos los usuarios que utilizan el modelo de permisos experimental en Node.js 20 y Node.js 21.
  • CVE-2023-39332: limitación indebida de una ruta de acceso a un directorio restringido. Varias funciones de 'node:fs' permiten especificar rutas como cadenas o como objetos 'Uint8Array'.
  • CVE-2023-26136: modificación indebidamente controlada de los atributos del prototipo del objeto. El paquete tough-cookie es vulnerables a la contaminación de prototipos debido al manejo incorrecto de las cookies al usar CookieJar en modo 'rejectPublicSuffixes=false'.
  • CVE-2021-44906: Minimist es vulnerable a la contaminación de prototipos a través del archivo index.js.
  • CVE-2021-43616: Verificación insuficiente de la autenticidad de los datos.
  • CVE-2021-42740: el paquete shell-quote, permite la inyección de comandos. Un atacante podría inyectar metacaracteres de shell sin escape mediante una expresión regular diseñada para admitir letras de unidad de Windows.
  • CVE-2021-3918: json-schema es vulnerable a la modificación indebidamente controlada de los atributos del prototipo de objeto.
  • CVE-2021-23383: el paquete 'handlebars' es vulnerables a una contaminación de prototipos al seleccionar determinadas opciones de compilación para agrupar plantillas que provienen de una fuente no confiable.
  • CVE-2021-23369: el paquete handlebars es vulnerables a una ejecución de código remota (RCE) al seleccionar determinadas opciones de compilación para compilar plantillas que provienen de una fuente no confiable.
  • CVE-2019-9851: LibreOffice está comúnmente incorporada con LibreLogo, un script de gráficos vectoriales turtle programables, lo que puede ejecutar comandos arbitrarios de python contenidos con el documento desde que se inicia.
  • CVE-2019-9850: LibreOffice está comúnmente incorporada con LibreLogo, un script de gráficos vectoriales turtle programables, lo que puede ejecutar comandos arbitrarios de python contenidos con el documento desde que se inicia.
  • CVE-2019-9848: LibreOffice presenta una funcionalidad donde los documentos pueden especificar que los scripts preinstalados pueden ser ejecutados en varios eventos de documentos, tal como el mouse-over, etc.
  • CVE-2018-16858: un atacante podría manipular un documento que, al ser abierto por LibreOffice, ejecute un método Python desde un script en cualquier ubicación arbitrara del sistema de archivos, especificada de forma relativa a la ubicación de instalación de LibreOffice.
  • CVE-2018-14939: la función get_app_path en 'desktop/unx/source/start.c' en LibreOffice hasta la versión 6.0.5 gestiona de manera incorrecta la función 'realpath' en ciertos entornos, como FreeBSD libc, lo que podría permitir que atacantes provoquen una denegación de servicio.
  • CVE-2018-1000620: entropía Insuficiente en el método 'randomDigits()'. Podría permitir a un atacante a un atacante realizar un ataque de fuerza bruta.
  • CVE-2019-10744: La función defaultsDeep de lodash podría ser manipulada para añadir o modificar propiedades de Object.prototype mediante una carga útil del constructor.