Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Cuatro nuevos avisos de seguridad

Índice

  • Cross-Site Scripting (XSS) almacenado en la aplicación web de Taclia
  • Asignación incorrecta de privilegios en Grafana
  • Múltiples vulnerabilidades en DFUSION de Davantis
  • Múltiples vulnerabilidades en TCMAN GIM

Cross-Site Scripting (XSS) almacenado en la aplicación web de Taclia

Fecha24/11/2025
Importancia3 - Media
Recursos Afectados

Aplicación web de Taclia.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a la aplicación web de Taclia, plataforma web para la gestión de PYMES y autónomos. La vulnerabilidad ha sido descubierta por Miguel Jiménez Cámara.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-41087: CVSS v4.0: 5.1| CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

La vulnerabilidad ha sido solucionada por el equipo de Taclia en la última versión.

Detalle

CVE-2025-41087: vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado en Taclia, donde las imágenes SVG subidas no se limpian adecuadamente. Esto permite a los atacantes incrustar scripts maliciosos en archivos SVG como perfiles de imagen, que posteriormente se almacenan en el servidor y se ejecutan bajo el contexto de cualquier usuario que acceda al recurso comprometido.

Asignación incorrecta de privilegios en Grafana

Fecha24/11/2025
Importancia5 - Crítica
Recursos Afectados

Para Grafana Enterprise, las versiones comprometidas son:

  • de la 12.0.0 a 12.0.6 incluida;
  • de la 12.1.0 a 12.1.3 incluida;
  • de la 12.2.0 a 12.2.1 incluida.

Para Grafana Cloud ya ha sido solucionada la incidencia.

Descripción

Grafana Labs ha informado sobre 1 vulnerabilidad de severidad crítica que, en caso de ser explotada, permitiría a un cliente malicioso provocar una suplantación de identidad o escalada de privilegios.

Solución

Se recomienda actualizar a las siguientes versiones Grafana Enterprise:

  • 12.0.7.
  • 12.1.4.
  • 12.2.2.
  • 12.3.0.
Detalle

CVE-2025-41115: vulnerabilidad está asociada a la asignación errónea de privilegios y se produce cuando el aprovisionamiento de SCIM está habilitado y configurado. La vulnerabilidad está provocada en la gestión de la identidad del usuario, lo que permite que un cliente SCIM malicioso o comprometido pueda aprovisionar a un usuario con un 'externalId' numérico. Esto permitiría anular los identificadores internos del usuario y conducir a una suplantación de identidad o escalada de privilegios.

Esta vulnerabilidad solo es válida si se satisfacen todas las condiciones siguientes:

  • La función 'enableSCIM' está activada.
  • El bloque '[auth.scim]' tiene configurada la opción de configuración 'user_sync_enabled' como verdadera.

Múltiples vulnerabilidades en DFUSION de Davantis

Fecha24/11/2025
Importancia4 - Alta
Recursos Afectados

DFUSION, versiones anteriores a 6.186.1.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades, 1 de severidad alta y 1 de severidad media, que afectan a DFUSION de Davantis, una solución de videoanálisis inteligente. Las vulnerabilidades han sido descubiertas por Ferran Plaza.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-41016: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-862
  • CVE-2025-41017: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-862
Solución

Las vulnerabilidades fueron solucionadas por el equipo de Davantis en la versión 6.186.1 en mayo de 2020.

Detalle
  • CVE-2025-41016: vulnerabilidad de control de acceso inadecuado en DFUSION de Davantis v6.177.7, que permite a actores no autorizados extraer imágenes y vídeos relacionados con eventos de alarma a través del acceso a ‘/alarms/<ALARM_ID>/<MEDIA>’, el parámetro ‘MEDIA’ puede tomar el valor de “snapshot” o “video.mp4”. Estos archivos multimedia contienen imágenes grabadas por las cámaras de seguridad en respuesta a las alertas activadas.
  • CVE-2025-41017: vulnerabilidad de control de acceso inadecuado en DDFUSION de Davantis v6.177.7, que permite a actores no autorizados recuperar parámetros de perspectiva de la configuración de cámaras de seguridad mediante el acceso a ‘/cameras/<CAMERA_ID>/perspective’.

Múltiples vulnerabilidades en TCMAN GIM

Fecha24/11/2025
Importancia4 - Alta
Recursos Afectados

GIM, versiones anteriores a 20250304.

Descripción

INCIBE ha coordinado la publicación de 4 vulnerabilidades, 2 de severidad alta y 2 de severidad media, que afectan a GIM de TCMAN, una solución de software de gestión de mantenimiento. Las vulnerabilidades han sido descubiertas por Hugo Leal Vara.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-41012: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-862
  • CVE-2025-41013: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
  • CVE-2025-41014 y CVE-2025-41015: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-200
Solución

Las vulnerabilidades han sido solucionadas por el equipo de TCMAN en la versión 20250401.

Detalle
  • CVE-2025-41012: vulnerabilidad de falta de autorización en TCMAN GIM v11 en la versión 20250304. Esta vulnerabilidad permite a un atacante, no autenticado, saber si un usuario existe en el sistema mediante el uso de los parámetros 'pda:userId' y 'pda:newPassword' con 'soapaction UnlockUser' en '/WS/PDAWebService.asmx'.
  • CVE-2025-41013: vulnerabilidad de inyección SQL en TCMAN GIM v11 en la versión 20250304. Esta vulnerabilidad permite a un atacante recuperar, crear, actualizar y eliminar bases de datos mediante el envío de una solicitud GET utilizando el parámetro 'idmant' en '/PC/frmEPIS.aspx'.
  • Vulnerabilidad de Enumeración de Usuarios en TCMAN GIM v11 en la versión 20250304. Esta vulnerabilidad permite a un atacante, no autenticado, saber si un usuario existe en el sistema. La relación de parámetros e identificadores asignados es la siguiente:
    • CVE-2025-41014: parámetro 'pda:username' con 'soapaction GetLastDatePasswordChange' en '/WS/PDAWebService.asmx'.
    • CVE-2025-41015: parámetro 'pda:username' con 'soapaction GetUserQuestionAndAnswer' en '/WS/PDAWebService.asmx'.