Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en Poultry Farm Management System
  • Cross-Site Scripting (XSS) almacenado en la aplicación web de Sesame
  • Múltiples vulnerabilidades en productos de Flexense

Múltiples vulnerabilidades en Poultry Farm Management System

Fecha20/01/2026
Importancia3 - Media
Recursos Afectados

Poultry Farm Management System, versión 1.0.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad media que afectan a Poultry Farm Management System, un sistema de gestión de granjas avícolas. Las vulnerabilidades han sido descubiertas por Rafael Pedrero.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-41024 y CVE-2025-41025: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
     
Solución

No hay solución reportada por el momento.

Detalle

Vulnerabilidad de Cross-Site Scripting (XSS) almacenado en Poultry Farm Management System v1.0 debido a la falta de validación adecuada de las entradas del usuario mediante el envío de una petición POST. La relación de parámetros e identificadores asignados es la siguiente:

  • CVE-2025-41024: parámetros 'companyaddress', 'companyemail', 'companyname', 'country', 'mobilenumber' y 'regno' en '/farm/farmprofile.php'.
  • CVE-2025-41025: parámetros 'category' y 'product' en '/farm/sell_product.php'.

Cross-Site Scripting (XSS) almacenado en la aplicación web de Sesame

Fecha20/01/2026
Importancia3 - Media
Recursos Afectados

Sesametime.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a la aplicación web de Sesame, una aplicación para la gestión de empleados. La vulnerabilidad ha sido descubierta por Miguel Jiménez Cámara.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-41084: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

No hay solución reportada por el momento.

Detalle

CVE-2025-41084: Cross-Site Scripting (XSS) almacenado en la aplicación web de Sesame, debida a que las imágenes SVG subidas no se limpian adecuadamente. Esto permite a los atacantes incrustar scripts maliciosos en archivos SVG enviando una solicitud POST utilizando el parámetro 'logo' en '/api/v3/companies/<ID>/logo' que, posteriormente, se almacenan en el servidor y se ejecutan en el contexto de cualquier usuario que acceda al recurso comprometido.

Múltiples vulnerabilidades en productos de Flexense

Fecha20/01/2026
Importancia4 - Alta
Recursos Afectados
  • Sync Breeze Enterprise Server v10.4.18;
  • Disk Pulse Enterprise v10.4.18.
Descripción

INCIBE ha coordinado la publicación de 11 vulnerabilidades: 5 de severidad alta y 6 de severidad media, que afectan a Sync Breeze Enterprise Server y Disk Pulse Enterprise de Flexense, soluciones para la sincronización de archivos y el monitoreo de discos . Las vulnerabilidades han sido descubiertas por Rafael Pedrero.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • De CVE-2025-59891 a CVE-2025-59894: CVSS v4.0: 8.5 | CVSS AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE- 352
  • CVE-2025-59895: CVSS v4.0: 8.2 | CVSS AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N | CWE- 20
  • De CVE-2025-59896 a CVE-2025-59900: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE- 79
  • CVE-2025-59901: CVSS v4.0: 4.8 | CVSS AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE- 352
Solución

No hay solución reportada por el momento.

Detalle
  • Vulnerabilidad de falsificación de solicitudes entre sitios (CSRF) en Sync Breeze Enterprise Server v10.4.18 y Disk Pulse Enterprise v10.4.18. Un usuario autenticado podría llevar a otro usuario a ejecutar acciones no deseadas dentro de la aplicación en la que está conectado. Esta vulnerabilidad es posible debido a la falta de una implementación adecuada del token CSRF. Entre otras cosas, es posible, mediante una petición POST:
    • CVE-2025-59891: cambiar la contraseña de un usuario o crear usuarios a través de '/setup_login?sid=', lo que afecta a los parámetros 'username', 'password' y 'cpassword'.
    • CVE-2025-59892: eliminar comandos individualmente a través de '/delete_command?sid=', mediante el parámetro 'cid'.
    • CVE-2025-59893: renombrar comandos a través de '/rename_command?sid=', lo que afecta al parámetro 'command_name'.
    • CVE-2025-59894: eliminar todos los comandos a través de '/delete_all_commands?sid='.
  • CVE-2025-59895: Sync Breeze Enterprise Server v10.4.18 y Disk Pulse Enterprise v10.4.18 presentan una vulnerabilidad de denegación de servicio (DoS) remota en la funcionalidad de restauración de la configuración. El problema se debe a una validación insuficiente de los datos proporcionados por el usuario durante dicho proceso. Un atacante podría enviar solicitudes maliciosas para alterar el archivo de configuración, provocando que la aplicación deje de responder. En un escenario exitoso, el servicio podría no recuperarse por sí solo y requerir una reinstalación completa, ya que la configuración queda dañada e impide el reinicio del servicio, incluso de forma manual.
  • Sync Breeze Enterprise Server v10.4.18 y Disk Pulse Enterprise v10.4.18 presentan una vulnerabilidad de Cross-Site Scripting (XSS) autenticado persistente. Un atacante podría enviar contenido malicioso a un usuario autenticado y robar información de su sesión, debido a una validación insuficiente de las entradas del usuario en distintos parámetros, a través de peticiones POST:
    • CVE-2025-59896: '/add_command?sid=', lo que afecta al parámetro 'command_name'.
    • CVE-2025-59897: '/edit_command?sid=', lo que afecta a los parámetros 'source_dir' y 'dest_dir'.
    • CVE-2025-59898: '/add_exclude_dir?sid=', lo que afecta al parámetro 'exclude_dir'.
    • CVE-2025-59899: '/server_options?sid=', lo que afecta a los parámetros 'tasks_logs_dir', 'errors_logs_dir', 'error_notifications_address', 'status_notifications_address' y 'status_reports_address'.
    • CVE-2025-59900: '/rename_command?sid=', que afecta al parámetro 'command_name'.
  • CVE-2025-59901: Disk Pulse Enterprise v10.4.18 presenta una vulnerabilidad de XSS autenticado reflejado en el endpoint '/monitor_directory?sid=', causada por una validación insuficiente del parámetro 'monitor_directory' enviado por POST. Un atacante podría explotar esta debilidad para enviar contenido malicioso a un usuario autenticado y robar información de su sesión.