Cuatro nuevos avisos de seguridad y tres actualizaciones
Índice
- Cross-Site Scripting (XSS) reflejado en Riftzilla de QRGen
- Inyección de HTML en Isshue de Bdtask
- Inyección de HTML en múltiples productos de Botble
- Cross-Site Scripting (XSS) reflejado en IsMyGym
- [Actualización 19/01/2026] Múltiples vulnerabilidades en productos de Fortinet
- [Actualización 19/01/2026] Ejecución remota de comandos en productos de Cisco
- [Actualización 19/01/2026] Inyección de código en HPE OneView
Cross-Site Scripting (XSS) reflejado en Riftzilla de QRGen
QRGen
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a QRGen de Riftzilla, una aplicación para generar QR. La vulnerabilidad ha sido descubierta por Gonzalo Aguilar García (6h4ack).
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-40644: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
No hay solución reportada por el momento.
CVE-2025-40644: vulnerabilidad de Cross-Site Scripting (XSS) reflejado en QRGen de Riftzilla. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa utilizando el parámetro 'id' en '/article.php'. Esta vulnerabilidad podría ser explotada para robar datos sensibles del usuario, como cookies de sesión, o para realizar acciones en nombre del usuario.
Inyección de HTML en Isshue de Bdtask
Isshue
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Isshue de Bdtask, una plataforma de eCommerce. La vulnerabilidad ha sido descubierta por Gonzalo Aguilar García (6h4ack).
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-40679: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N | CWE-79
No hay solución reportada por el momento.
CVE-2025-40679: vulnerabilidad de Inyección HTML en Isshue de Bdtask, que consiste en una Inyección HTML debido a la falta de validación adecuada de las entradas del usuario mediante el envío de una petición POST a '/category_product_search', afectando al parámetro 'product_name'.
Inyección de HTML en múltiples productos de Botble
Los siguientes productos de Botble están afectados:
- TransP;
- Athena;
- Martfury;
- Homzen.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a TransP, Athena, Martfury y Homzen de Botble. La vulnerabilidad ha sido descubierta por Gonzalo Aguilar García (6h4ack).
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-1183: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N | CWE-79
No hay solución reportada por el momento.
CVE-2026-1183: vulnerabilidad de Inyección HTML en múltiples productos de Botble como TransP, Athena, Martfury y Homzen, que consiste en una Inyección HTML debido a la falta de validación adecuada de las entradas del usuario mediante el envío de una petición a '/search', utilizando el parámetro 'q'.
Cross-Site Scripting (XSS) reflejado en IsMyGym
IsMyGym.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a IsMyGym de Zuinq Studio, un sistema para gestionar gimnasios. La vulnerabilidad ha sido descubierta por Gonzalo Aguilar García (6h4ack).
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-41081: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
La vulnerabilidad ha sido solucionada por el equipo de Zuinq Studio en la última versión.
CVE-2025-41081: Cross-Site Scripting (XSS) reflejado en IsMyGym de Zuinq Studio. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa con '/<PATH>.php/<XSS>'. Esta vulnerabilidad puede ser explotada para robar datos sensibles del usuario, como cookies de sesión, o para realizar acciones en nombre del usuario.
[Actualización 19/01/2026] Múltiples vulnerabilidades en productos de Fortinet
Para los avisos críticos los productos afectados son:
- FortiSIEM 7.4, versión 7.4.0;
- FortiSIEM 7.3, versiones desde la 7.3.0 hasta la 7.3.4;
- FortiSIEM 7.2, versiones desde la 7.2.0 hasta la 7.2.6;
- FortiSIEM 7.1, versiones desde la 7.1.0 hasta la 7.1.8;
- FortiSIEM 7.0, versiones desde la 7.0.0 hasta la 7.0.4;
- FortiSIEM 6.7, versiones desde la 6.7.0 hasta la 6.7.10;
- FortiFone 7.0, versiones desde la 7.0.0 hasta la 7.0.1;
- FortiFone 3.0, versiones desde la 3.0.13 hasta la 3.0.23.
La vulnerabilidad no afecta a los nodos Collector, únicamente a los nodos Super y Worker.
Fortinet ha publicado 6 avisos de seguridad, 2 críticos, 1 alto, 3 medios y 1 bajo. Si se explotan estas vulnerabilidades de forma satisfactoria, entre otras acciones, podría permitirse a un atacante no autenticado ejecutar comandos o código no autorizado mediante solicitudes TCP manipuladas y obtener la configuración del dispositivo.
Actualizar el producto a las siguientes versiones:
- FortiSIEM 7.4, versión 7.4.1 o posterior;
- FortiSIEM 7.3, versión 7.3.5 o posterior;
- FortiSIEM 7.2, versión 7.2.7 o posterior;
- FortiSIEM 7.1, versión 7.1.9 o posterior;
- FortiSIEM 7.0, migrar a una versión con solución;
- FortiSIEM 6.7, migrar a una versión con solución;
- FortiFone 7.0, versión 7.0.2 o posterior;
- FortiFone 3.0, versión 3.0.24 o posterior.
Para los productos FortiSIEM, como medida de contingencia se puede limitar el acceso al puerto phMonitor (7900).
CVE-2025-64155: neutralización incorrecta de elementos especiales empleados en un comando del SO (inyección de comandos en SO), puede permitir a un atacante no autenticado ejecutar código o comandos del SO no autorizados por solicitudes TCP manipuladas. Por tanto, un atacante no autenticado con acceso por red a un servicio básico de FortiSIEM puede obtener control total como administrador de la aplicación y escalar privilegios a root.
[Actualización 19/01/2026] La empresa Horizon3.ai ha indicado unos Indicadores de Compromiso (IoC) de la detección que realizada por su parte que consiste en monitorizar los logs de mensajes recibidos en el servicio phMonitor y buscar:
'PHL_ERROR' con la flag ‘—next’ y a continuación una URL, que es desde la que se ha descargado el payload.
CVE-2025-47855: la página FortiFone Web Portal tiene una vulnerabilidad de exposición de información sensible a un actor no autorizado que puede permitir a un atacante no autenticado obtener la configuración del dispositivo mediante solicitudes HTTP o HTTPS manipuladas.
[Actualización 19/01/2026] Ejecución remota de comandos en productos de Cisco
Esta campaña de ataque afecta a Cisco Secure Email Gateway, tanto físico como virtual, y a los dispositivos Cisco Secure Email y Web Manager, tanto físicos como virtuales, cuando se cumplen las dos condiciones siguientes:
- El dispositivo está configurado con la función de cuarentena de spam.
- La función de cuarentena de spam está expuesta y se puede acceder a ella desde Internet.
La función de Cuarentena de Spam no está habilitada de forma predeterminada. Las guías de implementación de estos productos no requieren que este puerto esté expuesto directamente a Internet.
Todas las versiones del software Cisco AsyncOS se ven afectadas por esta campaña de ataque.
[Actualización 19/01/2026]
También están afectados los dispositivos que ejecuten una versión vulnerable de Cisco AsyncOS Software.
La función de cuarentena de spam, no está habilitada por defecto.
Los productos afectados son
- Cisco AsyncOS Software:
- Versiones 14.2 y anteriores;
- 15.0;
- 15.5;
- 16.0.
- Cisco AsyncOS Software:
- Versión 15.0 y anteriores;
- 15.5;
- 16.0.
Cisco ha publicado información sobre una vulnerabilidad de severidad crítica que de ser explotada podría permitir a un atacante ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente de un dispositivo afectado.
Existe una investigación en curso la cual ha revelado evidencias de un mecanismo de persistencia implementado por los cibercriminales para mantener cierto control sobre los dispositivos comprometidos.
[Actualización 19/01/2026]
Actualizar los productos a alguna de las siguientes versión dependiendo de la versión inicial del producto que se tenga instalada:
- Cisco AsyncOS Software:
- Para versiones 14.2 y anteriores - Actualizar a 15.0.5-016;
- Para 15.0 - Actualizar a 15.0.5-016;
- Para 15.5 - Actualizar a 15.5.4-012;
- Para 16.0 - Actualizar a 16.0.4-016.
- Cisco AsyncOS Software:
- Para versión 15.0 y anteriores - Actualizar a 15.0.2-007;
- Para 15.5 - Actualizar a 15.5.4-007;
- Para 16.0 - Actualizar a 16.0.4-010.
Después de actualizar el producto, este se reiniciará.
En el enlace de las referencias puede consultar información detallada de cómo se debe realizar la actualización.
Esta vulnerabilidad 0day que aún no ha recibido parches afecta únicamente a los dispositivos Cisco SEG y Cisco SEWM con configuraciones no estándar, cuando la función de cuarentena de spam está habilitada y expuesta en Internet.
Determinar si la cuarentena de spam está habilitada en un dispositivo Cisco Secure Email Gateway.
Para determinar si la función de Cuarentena de Spam está configurada y habilitada en un dispositivo, conéctese a la interfaz de administración web y navegue al siguiente menú: Red > Interfaces IP > [ Seleccione la interfaz en la que está configurada la Cuarentena de Spam ] . Si la casilla junto a Cuarentena de Spam está marcada, la función está habilitada.
Determinar si la cuarentena de spam está habilitada en un dispositivo Cisco Secure Email and Web Manager.
Para determinar si la función Cuarentena de spam está configurada y habilitada en un dispositivo, conéctese a la interfaz de administración web y navegue al siguiente menú: Dispositivo de administración > Red > Interfaces IP > [ Seleccione la interfaz en la que está configurada la Cuarentena de spam ]. Si la casilla de verificación junto a Cuarentena de spam está marcada, la función está habilitada.
Cisco recomienda encarecidamente seguir un proceso de varios pasos para restaurar el dispositivo a una configuración segura, siempre que sea posible. Si no es posible restaurar el dispositivo, se recomienda contactar con el TAC para verificar si ha sido comprometido.
[Actualización 19/01/2026]
El fallo se encuentra en la función Spam Quarantine de Cisco AsyncOS Software para Cisco Secure Email Gateway y Cisco Secure Email y Web Manager. La vulnerabilidad se produce por una validación incorrecta de las solicitudes HTTP. Un atacante podría explotar la vulnerabilidad al enviar una solicitud HTTP manipulada.
CVE-2025-20393: ejecución remota de comandos.
El equipo de investigación de inteligencia de amenazas de la compañía, cree que un grupo de amenazas chino, identificado como UAT-9686, está detrás de ataques que aprovechan este fallo de seguridad para ejecutar comandos arbitrarios con acceso root e implementar puertas traseras persistentes AquaShell, implantes de malware de túneles SSH inversos AquaTunnel y Chisel, y una herramienta de limpieza de registros llamada AquaPurge.
[Actualización 19/01/2026] Inyección de código en HPE OneView
HPE OneView, todas las versiones anteriores a v11.00.
brocked200 (Nguyen Quoc Khanh) ha informado de una vulnerabilidad de severidad crítica que, en caso de ser explotada, permitiría la ejecución de código en remoto.
HPE OneView v11.00 o posterior tiene esta vulnerabilidad corregida. Visite el Centro de descargas de HPE para descargar la última versión.
Por otro lado, se ha lanzado una corrección para cualquier versión de HPE OneView entre la v5.20 y 10.20. Esta corrección debe ser reinstalada después de que se haga una actualización de HPE OneView v6.6n.xx a 7.00.00, incluida cualquier reimagen de HPE Synergy Composer. Visite el Centro de descargas de HPEpara descargar la corrección.
[Actualización 19/01/2026]
HPE ha publicado una revisión de seguridad actualizada que proporciona una corrección mejorada y sustituye a las anteriores 'HPE OneView CVE 37164 Z7550-98077' y 'HPE SYNERGY CVE 37164 Z7550-98077'. Para garantizar una protección completa contra la vulnerabilidad de este aviso. Esta versión debe aplicarse independientemente del estado de la instalación anterior.
Visite las siguientes páginas para descargar las correcciones:
La corrección de seguridad debe volver a aplicarse después de:
- Cualquier reimagen de HPE Synergy Composer
- Restaurar cualquier copia de seguridad de HPE Synergy Composer
- Un reseteo de fábrica
CVE-2025-37164: HPE OneView tiene una vulnerabilidad de control incorrecto de generación de código (inyección de código) que, en caso de ser explotada, permitiría la ejecución de código en remoto.