Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Softdial Contact Center

Fecha de publicación 18/03/2025
Identificador
INCIBE-2025-0144
Importancia
4 - Alta
Recursos Afectados

Softdial Contact Center.

Descripción

INCIBE ha coordinado la publicación de 3 vulnerabilidades, 2 de severidad alta y una media, que afectan a Softdial Contact Center de Sytel Ltd, un software de gestión de contact centers. Estas vulnerabilidades han sido descubiertas por Víctor Rodríguez Carreño, del equipo de Telefónica Tech.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-2493: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-22
  • CVE-2025-2494: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-434
  • CVE-2025-2495: CVSS v4.0: 5.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2025-2493: Path Traversal en Softdial Contact Center de Sytel Ltd. Esta vulnerabilidad permite a un atacante manipular el parámetro "id" del endpoint "/softdial/scheduler/load.php" para navegar más allá del directorio deseado. Esto puede permitir el acceso no autorizado a archivos confidenciales fuera del alcance esperado, lo que supone un riesgo para la seguridad.
  • CVE-2025-2494: carga de archivos sin restricciones en Softdial Contact Center de Sytel Ltd. Esta vulnerabilidad podría permitir a un atacante cargar archivos al servidor a través del endpoint "/softdial/phpconsole/upload.php", que está protegido por autenticación básica HTTP. Los archivos se cargan en un directorio expuesto por la aplicación web, lo que puede resultar en la ejecución de código, otorgando al atacante control total sobre el servidor.
  • CVE-2025-2495: Cross-Site Scripting (XSS) almacenado en Softdial Contact Center de Sytel Ltd. Esta vulnerabilidad permite a un atacante cargar archivos XML en el servidor con código JavaScript inyectado a través del recurso "/softdial/scheduler/save.php". El código inyectado se ejecutará cuando el archivo subido se cargue a través del recurso "/softdial/scheduler/load.php" y puede redirigir a la víctima a sitios maliciosos o robar su información de inicio de sesión para suplantar su identidad.
Listado de referencias
Sytel Ltd - Cloud Contact Center Software
Etiquetas