Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en reNgine (CVE-2025-24967)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
04/02/2025
Última modificación:
04/02/2025

Descripción

reNgine es un framework de reconocimiento automatizado para aplicaciones web. Existe una vulnerabilidad Cross-Site Scripting (XSS) Almacenado en la funcionalidad de administración de usuarios del panel de administración. Un atacante puede explotar este problema inyectando payloads maliciosos en el campo de nombre de usuario durante la creación del usuario. Esta vulnerabilidad permite la ejecución no autorizada de script siempre que el administrador vea o interactúe con la entrada del usuario afectado, lo que representa un riesgo significativo para las funcionalidades de administración confidenciales. Este problema afecta a todas las versiones hasta incluida 2.20. Se recomienda a los usuarios que supervisen el proyecto para futuras versiones que solucionen este problema. No se conocen workarounds.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:H/AT:P/PR:H/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 7.40 ALTA
Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:H/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
7.40
Gravedad 4.0
ALTA

Referencias a soluciones, herramientas e información