Dos nuevos avisos de seguridad
Índice
- Múltiples vulnerabilidades en la aplicación web de Wakyma
- Múltiples vulnerabilidades en el Campus de Educativa
Múltiples vulnerabilidades en la aplicación web de Wakyma
Aplicación web de Wakyma.
INCIBE ha coordinado la publicación de 5 vulnerabilidades, 3 de severidad alta y 2 de severidad media, que afectan a la aplicación web de Wakyma, software de gestión y marketing para centros veterinarios. Las vulnerabilidades han sido descubiertas por Bruno López Trigo (n0d0n).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2026-3020: CVSS v4.0: 8.6 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE- 639
- CVE-2026-3021: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE- 943
- CVE-2026-3022: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE- 943
- CVE-2026-3023: CVSS v4.0: 5.3 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE- 943
- CVE-2026-3024: CVSS v4.0: 4.8 | CVSS AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N| CWE-79
Wakyma ha solucionado las vulnerabilidades en la integración continúa desplegada en producción desde el día 19 de Febrero de 2026.
- CVE-2026-3020: vulnerabilidad de omisión de autorización mediante clave controlada por el usuario (IDOR) que da lugar a que un atacante pueda modificar los datos de una cuenta de usuario legítima, como por ejemplo modificar la dirección de correo electrónico de la víctima, validar la nueva dirección de correo electrónico y solicitar una nueva contraseña. Esto le podría permitir a un atacante tomar el control total de la cuenta legítima de otros usuarios.
- CVE-2026-3021: vulnerabilidad de inyección SQL no relacional (NoSQLi) en la aplicación web de Wakyma, concretamente en el endpoint 'vets.wakyma.com/centro/equipo/empleado'. Esta vulnerabilidad podría posibilitar que un usuario autenticado altere una solicitud GET al endpoint afectado con el propósito de inyectar comandos NoSQL especiales. Esto conllevaría a la enumeración de datos sensibles de los empleados.
- CVE-2026-3022: vulnerabilidad de inyección SQL no relacional (NoSQLi) en la aplicación web de Wakyma concretamente en el endpoint 'vets.wakyma.com/hospitalizacion/generar-resumen-hospitalizacion'. Esta vulnerabilidad podría permitir que un usuario autenticado altere una solicitud POST al endpoint afectado con el propósito de inyectar comandos NoSQL especiales, lo que da como resultado que el atacante pueda obtener informes de clientes.
- CVE-2026-3023: vulnerabilidad de inyección SQL no relacional (NoSQLi) en la aplicación web de Wakyma concretamente en el endpoint 'vets.wakyma.com/mascotas/imprimir-etiquetas'. Esta vulnerabilidad podría permitir que un usuario autenticado altere una solicitud POST al endpoint afectado con el propósito de inyectar comandos NoSQL, permitiéndole enumerar tanto mascotas como a los nombres de propietarios.
- CVE-2026-3024: vulnerabilidad de Cross-Site Scripting (XSS) almacenado en la aplicación web de Wakyma, concretamente en endpoint 'vets.wakyma.com/configuracion/agenda/modelo-formulario-evento'. Un usuario con permiso para crear cuentas personalizadas podría aprovechar esta vulnerabilidad con el simple hecho de crear una encuesta malintencionada que perjudique a todo el equipo veterinario. Al mismo tiempo, un usuario con privilegios bajos podría explotar esta vulnerabilidad para acceder a datos no autorizados y llevar a cabo acciones con privilegios elevados.
Múltiples vulnerabilidades en el Campus de Educativa
Campus Educativa versión 14.05.00-35.
INCIBE ha coordinado la publicación de 2 vulnerabilidades, 1 de severidad alta y 1 de severidad media, que afectan al Campus de Educativa, software basado en E-learning para empresas que automatiza la formación, gestiona y vende cursos. Las vulnerabilidades han sido descubiertas por Rubén Álvarez Elena.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2026-3110: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-284
- CVE-2026-3111: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-284
Las vulnerabilidades han sido solucionadas por el equipo de Educativa en la versión 14.05.00-159 y posteriores.
- CVE-2026-3110: vulnerabilidad de Referencia Directa a Objetos Insegura (IDOR) en el Campus de Educativa, concretamente en el endpoint '/administracion/admin_usuarios.cgi?filtro_estado=T&wAccion=listado_xlsx&wBuscar=&wFiltrar=&wOrden=alta_usuario&wid_cursoActual=[ID]', donde se exportan los datos de los usuarios inscritos en el curso. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante, no autenticado, acceder a los datos de los usuarios (por ejemplo, nombres de usuario, nombres y apellidos, direcciones de correo electrónico y números de teléfono) y recuperar los datos de todos los usuarios inscritos en los cursos mediante un ataque de fuerza bruta al ID del curso a través de una URL manipulada.
- CVE-2026-3111: vulnerabilidad de Referencia Directa a Objetos Insegura (IDOR) en el Campus de Educativa, concretamente en el endpoint '/archivos/usuarios/[ID]/[nombre de usuario]/thumb_AAxAA.jpg' (traducido como 80x90 y 40x45). La explotación exitosa de esta vulnerabilidad podría permitir a un atacante, no autenticado, acceder a las fotos de perfil de todos los usuarios a través de una URL manipulada, lo que le permitiría recopilar fotos de usuarios de forma masiva. Esto podría dar lugar a que estas fotos se utilizaran de forma maliciosa para suplantar identidades, realizar ingeniería social, vincular identidades entre plataformas mediante el reconocimiento facial o incluso llevar a cabo doxxing.