Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en Omada Controllers de TP-Link
  • Inyección SQL fuera de banda en Evaluación de Desempeño de Quatuor

Múltiples vulnerabilidades en Omada Controllers de TP-Link

Fecha27/01/2026
Importancia4 - Alta
Recursos Afectados
  • Omada Controllers, versiones anteriores a la 6.0.
  • Software (Win/Linux), Cloud, OC Series (OC200/OC220/OC300/OC400) versiones anteriores a 6.0.0.x.
  • Gateways:
    • ER605 v2.0 versiones anteriores a la 2.3.2 Compilación20251029 Rel.12727;
    • ER7206 v2.0 versiones anteriores a la 2.2.2 Compilación20250724 Rel.11109;
    • ER7406 versiones anteriores a la 1.2.2 Compilación 20250724 Rel.11109;
    • ER707-M2 versiones anteriores a la 1.3.1 Compilación 20251009 Rel.67687;
    • ER7412-M2 versiones anteriores a la 1.1.0 Compilación 20251015 Rel.63594;
    • ER8411 versiones anteriores a la 1.3.5 Compilación 20251028 Rel.06811;
    • ER706W, ER706W-4G, ER706W-4G 2.0, ER706WP-4G, ER703WP-4G-Outdoor versiones anteriores a la 1.2.1 Compilación 20250821 Rel.80909;
    • DR3220v-4G versiones anteriores a la 1.1.0 Compilación 20250801 Rel.81473;
    • DR3650v, DR3650v-4G versiones anteriores a la 1.1.0 Compilación 20250801 Rel.81753;
    • ER701-5G-Outdoor versiones anteriores a la 1.0.0 Versión 20250826 Rel.68862;
    • ER605W 2.0 versiones anteriores a la 2.0.2 Compilación 20250723 Rel.39048;
    • ER7212PC 2.0 versiones anteriores a la 2.2.1 Compilación 20251027 Rel.75129;
    • FR365 versiones anteriores a la 1.1.10 Compilación 20250626 Rel.81746;
    • G36W-4G versiones anteriores a la 1.1.5 Compilación 20250710 Rel.62142;
  • Access Points, en sus respectivas versiones (ver enlace en las referencias):
    • EAP Series (EAP655-Wall, EAP660 HD, EAP620 HD, EAP610, EAP623/625 Outdoor HD, EAP772/770/723/773/783/787, EAP725-Wall;
    • Bridge Kits;
    • Beam Bridge;
    • EAP603GP/EAP615GP/EAP625GP/EAP610GP/EAP650GP, EAP653/EAP650-Outdoor/EAP230/EAP235/EAP603-Outdoor/EAP653 UR/EAP650-Desktop/EAP615-Wall/EAP100-Bridge KIT).
Descripción

TP-Link ha reportado 5 vulnerabilidades; 1 de severidad alta, 3 medias y 1 baja. En el caso de que fuese exitosamente explotadas, podrían permitir a un atacante tener control administrativo, eludir la verificación secundaria y cambiar la contraseña del usuario, enumerar la información, entre otras acciones.

Solución

Para todos los recursos afectados se recomienda actualizar su respectivo firmware a la versión más reciente.

Detalle

CVE-2025-9520: vulnerabilidad de tipo IDOR que podría permitir a un atacante, con permisos de administrador, manipular solicitudes y secuestrar la cuenta del usuario para tomar control absoluto de la cuenta del propietario.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2025-9522, CVE-2025-9289 y CVE-2025-9290.

Para la vulnerabilidad de severidad baja se ha asignado el identificador CVE-2025-9521.

Inyección SQL fuera de banda en Evaluación de Desempeño de Quatuor

Fecha27/01/2026
Importancia5 - Crítica
Recursos Afectados

Evaluación de Desempeño (EDD).

Descripción

INCIBE ha coordinado la publicación de 12 vulnerabilidades de severidad crítica, que afectan a la Evaluación de Desempeño de Quatuor, herramienta de evaluación para empresas. Las vulnerabilidades han sido descubiertas por Óscar Atienza Vendrell.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • de CVE-2026-1472 a CVE-2026-1483: CVSS v4.0: 9.3 | CVSS:4.0 AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N | CWE-89
Solución

Las vulnerabilidades han sido resueltas en la última versión del aplicativo, lanzada el 12 de noviembre de 2025, y ya no son explotables.

Detalle

Se ha detectado una vulnerabilidad de inyección SQL fuera de banda (OOB SQLi) en el aplicativo Evaluación de Desempeño (EDD) de la empresa Gabinete Técnico de Programación.

La explotación de esta vulnerabilidad podría permitir a un atacante extraer información sensible de la base de datos mediante canales externos, sin que la aplicación afectada devuelva los datos directamente, comprometiendo la confidencialidad de la información almacenada.

La relación de parámetros e identificadores asignados es la siguiente:

  • CVE-2026-1472: parámetro 'txAny' en '/evaluacion_competencias_autoeval_list.aspx';
  • CVE-2026-1473: parámetro 'Id_usuario’ en '/evaluacion_competencias_evalua.aspx';
  • CVE-2026-1474: parámetros 'Id_usuario' e 'Id_evaluacion' en ‘/evaluacion_inicio.aspx’;
  • CVE-2026-1475: parámetro ‘Id_usuario' en ‘/evaluacion_acciones_evalua.aspx’;
  • CVE-2026-1476: parámetro 'Id_usuario' en ‘/evaluacion_acciones_ver_auto.aspx’;
  • CVE-2026-1477: parámetros 'Id_usuario' e 'Id_evaluacion’ en ‘/evaluacion_competencias_evalua_old.aspx’;
  • CVE-2026-1478: parámetros 'Id_usuario' e 'Id_evaluacion’ en ‘/evaluacion_hca_evalua.aspx’;
  • CVE-2026-1479: parámetros 'Id_usuario' e 'Id_evaluacion’ en ‘/evaluacion_hca_ver_auto.asp';
  • CVE-2026-1480: parámetro 'Id_usuario' en '/evaluacion_objetivos_anyo_sig_evalua.aspx';
  • CVE-2026-1481: parámetro 'Id_usuario' en '/evaluacion_objetivos_anyo_sig_ver_auto.aspx';
  • CVE-2026-1482: parámetro 'Id_evaluacion' en '/evaluacion_objetivos_evalua_definido.aspx';
  • CVE-2026-1483: parámetro 'Id_usuario' en '/evaluacion_objetivos_ver_auto.aspx'.