Tres nuevos avisos de seguridad
Índice
- Múltiples vulnerabilidades en productos de Viafirma
- Múltiples vulnerabilidades en productos de WorkDo
- Múltiples vulnerabilidades en productos de Imaster
Múltiples vulnerabilidades en productos de Viafirma
- Viafirma Inbox, versiones anteriores a 4.5.27;
- Viafirma Documents, versiones anteriores a 3.7.139;
- Viafirma Documents Compose, versiones anteriores a 1.9.2.
INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad alta, que afectan a Documents, Documents Compose y Inbox de Viafirma, una plataforma para la gestión de firma electrónica. Las vulnerabilidades han sido descubiertas por Carlos Aguadé Cabañas.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-41077: CVSS v4.0: 8.6 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-639
- CVE-2025-41078: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N | CWE-863
Las vulnerabilidades han sido solucionadas por el equipo de Viafirma.
- La vulnerabilidad CVE-2025-41077 ha sido solucionada en Viafirma Inbox v4.5.27.
- La vulnerabilidad CVE-2025-41078 ha sido solucionada en Viafirma Documents v3.7.139 y en Viafirma Documents Compose v1.9.2.
- CVE-2025-41077: vulnerabilidad IDOR en Viafirma Inbox v4.5.13 que permite a cualquier usuario autenticado sin privilegios en la aplicación enumerar a todos los usuarios y acceder y modificar sus datos. Esto permite modificar las direcciones de correo electrónico de los usuarios y, posteriormente, utilizando la funcionalidad de recuperación de contraseñas, acceder a la aplicación suplantando la identidad de cualquier usuario, incluidos aquellos con permisos de administración.
- CVE-2025-41078: debilidades en los mecanismos de autorización de Viafirma Documents v3.7.129 permiten a un usuario autenticado sin privilegios enumerar y acceder a otros datos de usuarios, utilizar funcionalidades de creación, modificación y borrado de usuarios y escalar privilegios suplantando la identidad de otros usuarios de la aplicación en la generación y firma de documentos.
Múltiples vulnerabilidades en productos de WorkDo
- TicketGo;
- eCommerceGo SaaS;
- HRMGo.
INCIBE ha coordinado la publicación de 4 vulnerabilidades, 4 de severidad media, que afectan a TicketGo, eCommerceGo SaaS y HRMGo de WorkDo. Las vulnerabilidades han sido descubiertas por Gonzalo Aguilar García (6h4ack).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- Desde CVE-2025-40975 hasta CVE-2025-40978: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
No hay solución reportada por el momento.
- CVE-2025-40975: vulnerabilidad de Cross-Site Scripting (XSS) almacenado en HRMGo de WorkDo, que consiste en una falta de validación adecuada de las entradas del usuario mediante el envío de una solicitud POST a '/hrmgo/ticket/changereply', utilizando el parámetro 'description'.
- CVE-2025-40976: vulnerabilidad de Cross-Site Scripting (XSS) almacenado en TicketGo de WorkDo, que consiste en una falta de validación adecuada de las entradas del usuario mediante el envío de una solicitud POST a '/ticketgo-saas/home', utilizando el parámetro 'description'.
- CVE-2025-40977: vulnerabilidad de Cross-Site Scripting (XSS) almacenado en eCommerceGo SaaS de WorkDo, que consiste en una falta de validación adecuada de las entradas del usuario mediante el envío de una solicitud POST a '/store-ticket', utilizando los parámetros 'subject' y 'description'.
- CVE-2025-40978: vulnerabilidad Cross-Site Scripting (XSS) almacenado en eCommerceGo SaaS de WorkDo, que consiste en un XSS almacenado debido a la falta de validación adecuada de las entradas del usuario mediante el envío de una petición POST a '/ticket/x/conversión', utilizando el parámetro 'reply_description'.
Múltiples vulnerabilidades en productos de Imaster
- MEMS Events CRM;
- Patient Records Management System.
INCIBE ha coordinado la publicación de 4 vulnerabilidades, 1 de severidad crítica, 2 de severidad alta y 1 de severidad media, que afectan a MEMS Events CRM y Patient Records Management System de Imaster, programas para la gestión empresarial. Las vulnerabilidades han sido descubiertas por Gonzalo Aguilar García (6h4ack).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-41003: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
- CVE-2025-41004 y CVE-2025-41005: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
- CVE-2025-41006: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
No hay solución reportada por el momento.
- CVE-2025-41003: el Sistema de Gestión de Registros de Pacientes de Imaster contiene una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el endpoint '/projects/hospital/incibe-cert/tags/edit_patient.php'. Al inyectar un script malicioso en el parámetro 'firstname', el código JavaScript se almacena y ejecuta cada vez que un usuario accede a la lista de pacientes, permitiendo a un atacante ejecutar JavaScript arbitrario en el navegador de una víctima.
- CVE-2025-41004: el Sistema de Gestión de Registros de Pacientes de Imaster es vulnerable a SQL Injection en el endpoint '/projects/hospital/incibe-cert/tags/complaints.php' a través del parámetro 'id'.
El CRM MEMS Events de Imaster contiene una vulnerabilidad de inyección SQL. La relación de parámetros e identificadores asignados es la siguiente:- CVE-2025-41005: parámetro 'keyword' en '/memsdemo/exchange_offers.php'.
- CVE-2025-41006: parámetro 'phone' en '/memsdemo/login.php'.