Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad y una actualización

Índice

  • Múltiples vulnerabilidades en Dowisp
  • Múltiples vulnerabilidades en Fluent Bit
  • [Actualización 25/11/2025] Cross-site Scripting (XSS) almacenado en WinPlus de Informática del Este

Múltiples vulnerabilidades en Dowisp

Fecha25/11/2025
Importancia3 - Media
Recursos Afectados

Dowisp, versiones anteriores a 2.0.1.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad media, que afectan a Dowisp, software que permite gestionar operadoras de telecomunicaciones. Las vulnerabilidades han sido descubiertas por José Luis Platas Feced.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-41071 y CVE-2025-41072: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79.
     
Solución

Las vulnerabilidades han sido solucionadas por el equipo de Dowisp en la versión 2.0.1. Además, estas vulnerabilidades afectaban a la plataforma alojada en el dominio dowisp.app, el cual ha sido cerrado y ahora se aloja en app.dowisp.com, con los cambios realizados.

Detalle

Se ha encontrado una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas en Dowisp. Esta vulnerabilidad permite a un atacante almacenar un contenido SVG malicioso mediante el envío de una solicitud HTTP POST utilizando un espacio en blanco al final del parámetro JSON para eludir la seguridad. La relación de parámetros e identificadores asignados es la siguiente:

  • CVE-2025-41071: parámetro 'attachment.file.name' en '/d2/helpdesk/ticket/<id>/add_comment/'.
  • CVE-2025-41072: parámetro 'file.name' en '/d2/helpdesk/ticket//attachments/'.
     

Múltiples vulnerabilidades en Fluent Bit

Fecha25/11/2025
Importancia5 - Crítica
Recursos Afectados

Versiones anteriores a Fluent Bit 4.1.0.

Descripción

Uri Katz de Oligo Security ha reportado 5 vulnerabilidades: 1 de severidad crítica, 1 alta y 3 medias. En caso de que estas vulnerabilidades fuesen explotadas, permitirían a un atacante omitir la autenticación, ejecutar código de forma remota (RCE), causar una denegación de servicio (DoS) y manipular etiquetas con el fin de causar una función incorrecta de la aplicación.

Solución

Se recomienda actualizar  Fluent Bit a la versión 4.1.0.

Detalle

CVE-2025-12977: vulnerabilidad de severidad crítica. Los complementos de entrada 'in_http' , 'in_splunk' e 'in_elasticsearch' de Fluent Bit no desinfectan el campo 'tag_key' en las entradas. Si un atacante tiene acceso a la red o puede escribir registros en Elasticsearch o Splunk, tiene la posibilidad de ofrecer valores que tengan caracteres especiales, como '../o' saltos de línea, los cuales se considerarían etiquetas válidas. Esto puede comprometer la integridad de los datos y la correcta dirección de los registros.

Para la vulnerabilidad de severidad alta se a añadido en identificador CVE-2025-12970.

[Actualización 25/11/2025] Cross-site Scripting (XSS) almacenado en WinPlus de Informática del Este

Fecha18/11/2025
Importancia5 - Crítica
Recursos Afectados

WinPlus versión 24.11.27.

Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad de severidad crítica, 2 de severidad alta y 2 de severidad media que afectan a WinPlus de Informática del Este, plataforma de gestión de recursos humanos, control horario, control de accesos y funcionalidad relacionada. La vulnerabilidad ha sido descubierta por Antonio Moreno Gómez.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-41346 CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-863
  • CVE-2025-41347: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-434
  • CVE-2025-41348: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
  • CVE-2025-41349 y CVE-2025-41350: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución
Detalle
  • CVE-2025-41346: control de autorización defectuoso en el software WinPlus v24.11.27 de Informática del Este que permite suplantar a otro usuario con solo conocer su 'ID numérico', por lo que un atacante podría comprometer la cuenta de otro usuario, afectando así a la confidencialidad, integridad y disponibilidad de los datos alojados en la aplicación.
  • CVE-2025-41347: vulnerabilidad de carga ilimitada de archivos de tipo peligroso en WinPlus v24.11.27 de Informática del Este. Esta vulnerabilidad permite a un atacante cargar un 'webshell' mediante el envío de una solicitud POST en '/WinplusPortal/ws/sWinplus.svc/json/uploadfile'.
  • CVE-2025-41348: vulnerabilidad de inyección SQL en WinPlus v24.11.27 de Informática del Este. Esta vulnerabilidad permite a un atacante recuperar, crear, actualizar y eliminar bases de datos mediante el envío de una solicitud POST utilizando los parámetros 'val1' y 'cont' en '/WinplusPortal/ws/sWinplus.svc/json/getacumper_post'.
  • CVE-2025-41349 y CVE-2025-41350: vulnerabilidad de tipo Stored Cross-site Scripting (XSS) en WinPlus v24.11.27 de Informática del Este, que consiste en un XSS almacenado debido a la falta de una validación adecuada de las entradas del usuario mediante el envío de una solicitud POST utilizando el parámetro 'descripcion' en '/WinplusPortal/ws/sWinplus.svc/json/savesolpla_post' y '/WinplusPortal/ws/sWinplus.svc/json/savesoldoc_post'. Esta vulnerabilidad podría permitir a un usuario remoto enviar una consulta especialmente diseñada a un usuario autenticado y robar los detalles de su sesión de cookies.