Vulnerabilidad en h6web de Anapi Group (CVE-2025-1270)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

13/02/2025

Última modificación:

13/02/2025

Descripción

La vulnerabilidad de referencia directa a objetos insegura (IDOR) en h6web de Anapi Group permite a un atacante autenticado acceder a la información de otros usuarios mediante una solicitud POST y modificando el parámetro “pkrelated” en el endpoint “/h6web/ha_datos_hermano.php” para hacer referencia a otro usuario. Además, la primera solicitud también podría permitir al atacante hacerse pasar por otros usuarios. Como resultado, todas las solicitudes realizadas después de la explotación de la vulnerabilidad IDOR se ejecutarán con los privilegios del usuario suplantado.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

9.10

Gravedad 3.x

CRÍTICA

Referencias a soluciones, herramientas e información

https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-anapi-group-h6web