Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Inyección SQL en MegaCMS de CRM Sistemas de Fidelización
  • Múltiples vulnerabilidades en Moodle

Inyección SQL en MegaCMS de CRM Sistemas de Fidelización

Fecha29/04/2026
Importancia5 - Crítica
Recursos Afectados

MegaCMS en la versión 12.0.0.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta a MegaCMS de CRM Sistemas de Fidelización, software para la gestión de sistema de reservas, ticketing, venta online, etc. La vulnerabilidad ha sido descubierta por Miguel Ovejero (Lapsor).

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-3325: CVSS v4.0: 10 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:L | CWE-89
Solución

Actualizar a la última versión disponible.

Detalle

CVE-2026-3325: Inyección SQL (SQLi) en MegaCMS v12.0.0, concretamente, en el parámetro 'id_territorio' del endpoint '/web_comunications/cms/get_provincias'. La vulnerabilidad se produce por una validación y depuración inadecuadas de la entrada del usuario. En concreto, mediante una solicitud POST, el parámetro 'id_territorio', utilizado inmediatamente después del envío del formulario de registro, podría ser manipulado por un atacante no autenticado para ejecutar consultas SQL arbitrarias.

Múltiples vulnerabilidades en Moodle

Fecha29/04/2026
Importancia5 - Crítica
Recursos Afectados

 Versiones de Moodle:

  • 5.1 hasta la 5.1.3;
  • 5.0 hasta la 5.0.6;
  • 4.5 hasta la 4.5.10;
  • versiones anteriores que carecen de soporte.
Descripción

Rojan Rijal y Melvinsh han encontrado, cada uno de ellos, una vulnerabilidad de severidad crítica que, en caso de ser explotadas, podrían permitir la ejecución de código en remoto y acceder y modificar valores de las bases de datos.

Solución

Actualizar el producto a las siguientes versiones, respectivamente:

  • 5.1.4;
  • 5.0.7;
  • 4.5.11.
Detalle
  • CVE-2026-7275: el plugin del repositorio Google Drive de Moodle tiene una vulnerabilidad que permite la ejecución de código en remoto (RCE).
  • CVE-2026-7274: El plugin de autenticación "external database" (auth_db) tiene una vulnerabilidad de inyección SQL. Nota: esto únicamente afecta a sitios con el plugin de autenticación "auth_db" habilitado.