Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Cross-Site Scripting (XSS) almacenado en DoWISP

Fecha de publicación 03/04/2025
Identificador
INCIBE-2025-0169
Importancia
3 - Media
Recursos Afectados

DoWISP, versiones anteriores a la 1.16.2.50.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a DoWISP, un software todo en uno para proveedores ISP, la cual ha sido descubierta por David Padilla Alvarado.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-3189: CVSS v4.0: 4.8 | CVSS AV:N/AC:L/AT:N/PR:H/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-78
Solución

La vulnerabilidad ha sido solucionada por el equipo de DoWISP en la versión 1.16.2.50.

Detalle

CVE-2025-3189: Cross-Site Scripting (XSS) almacenado en DoWISP en versiones anteriores a la 1.16.2.50, que consiste en un XSS almacenado a través de la subida de una foto de perfil en formato SVG con código Javascript malicioso en ella.

Listado de referencias
DoWISP - Software gestión ISP
Etiquetas