Referencia de Objeto Directo Inseguro en Deporsite de T-INNOVA
Módulo Deporsite, v05.29.0907.
INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad alta que afectan al módulo específico encargado de la gestión de la firma de documentos Deporsite, de T-INNOVA, las cuales han sido descubierta por Carlos Alonso Arranz.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-3574 y CVE-2025-3575: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-639
Las vulnerabilidades han sido solucionadas por el equipo de T-INNOVA en la release 2024.02 (DSuite2024 v06.1287 fix2).
T-Innova ha identificado los clientes que utilizan el módulo afectado, y ha aplicado el parche correspondiente.
Las vulnerabilidades de Referencia de Objeto Directo Inseguro (IDOR) en el módulo GestorFirmaDocumentos de T-INNOVA, podrían permitir a un atacante obtener información sensible de otros usuarios por medio los parámetros:
- CVE-2025-3574: "idUsuario" en el endpoint "/helper/Familia/obtenerFamiliaUsuario".
- CVE-2025-3575: "idUsuario" en el endpoint "/helper/Familia/establecerUsuarioSeleccion".
