Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en Minerva de MphRx
  • Verificación incorrecta de firma criptográfica en ASP.NET de Microsoft

Múltiples vulnerabilidades en Minerva de MphRx

Fecha28/04/2026
Importancia5 - Crítica
Recursos Afectados

Minerva V3.6.0.

Descripción

INCIBE ha coordinado la publicación de 3 vulnerabilidades, 1 de severidad crítica y 2 de severidad alta, que afectan a Minerva V3.6.0 de MphRx, una plataforma de datos de salud. Las vulnerabilidades han sido descubiertas por Alejandro Rivera León.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2026-5779: CVSS v4.0: 9.4 | CVSS  AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:H | CWE-284
  • CVE-2026-5780: CVSS v4.0: 8.5 | CVSS  AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H | CWE-284
  • CVE-2026-5781: CVSS v4.0: 8.5 | CVSS  AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:H | CWE-285
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2026-5779: referencia directa a objetos insegura (IDOR) en Minerva V3.6.0 de MphRx, concretamente en el endpoint '/minerva/user/updateUserProfile'. Esto permite a un usuario autenticado modificar la información de otros usuarios registrados. La explotación exitosa de esta vulnerabilidad permite a un usuario autenticado modificar la información de otros usuarios, como la dirección de correo electrónico, y solicitar una nueva contraseña a través del punto final '/webconnect/#/forgotPassword'. Esto podría dar lugar a la apropiación total de la cuenta.
  • CVE-2026-5780: referencia insegura a objetos directos (IDOR) en en Minerva V3.6.0 de MphRx, concretamente en el endpoint '/minerva/moUser/show/<ID>'. Si se aprovecha con éxito esta vulnerabilidad, un usuario autenticado puede acceder a los datos de otros usuarios registrados con solo modificar el ID. Esto permite obtener una lista de los usuarios.
  • CVE-2026-5781: autorización incorrecta en Minerva V3.6.0 de MphRx, concretamente en el endpoint '/minerva/moUser/update' podría permitir que un usuario autenticado con privilegios de modificación de usuarios elevara sus privilegios enviando una solicitud HTTP con el campo 'identifier' manipulado. La explotación exitosa de esta vulnerabilidad podría permitir que un usuario autenticado obtuviera privilegios de administrador. No es posible elevar privilegios a través de la interfaz gráfica de usuario.

Verificación incorrecta de firma criptográfica en ASP.NET de Microsoft

Fecha28/04/2026
Importancia5 - Crítica
Recursos Afectados

Paquetes NuGet Microsoft.AspNetCore.DataProtection, versiones desde la 10.0.0 hasta 10.0.6.

Para ver qué configuraciones están realmente afectadas se recomienda consultar los enlaces de las referencias.

Descripción

Microsoft ha publicado una actualización fuera de ciclo (OOB, Out Of Band) para solucionar una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante obtener el control total de la máquina, al poder ejecutar instrucciones como SYSTEM.

Solución

Actualizar el producto a la versión 10.0.7 o posterior.

Después de instalar el parche cierre todas las aplicaciones basadas en .NET y reinicie el equipo.

Detalle

CVE-2026-40372: verificación incorrecta de firma criptográfica en ASP.NET Core. Esta permite a un atacante no autorizado incrementar sus privilegios en la red, con lo que podría acceder a ficheros y modificar datos, pero no afectar a la disponibilidad del sistema.

El problema se produce porque al no realizar ASP.NET Core la verificación de forma correcta, un atacante puede generar cargas útiles falsificadas en las que se autentique como un usuario con grandes privilegios, por ejemplo, SYSTEM.