Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en Janto

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en Janto

Aviso
Recursos Afectados

Janto, versiones anteriores a la r12.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades: una de severidad crítica y otra alta, que afectan a Janto de Impronta, una plataforma para la venta de entradas, las cuales han sido descubierta por Guzmán Fernández Ocaña.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad.

  • CVE-2025-1107: CVSS v3.1: 9.9 | CVSS AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:L | CWE-620
  • CVE-2025-1108: CVSS v3.1: 8.6 | CVSS AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N | CWE-345
Identificador
INCIBE-2025-0066

5 – Crítica
Solución

Con los parches implementados por el equipo de Impronta, se han corregido las vulnerabilidades detectadas.

Todos los clientes que utilizan este producto en modo SaaS han sido actualizados a la versión r12 que corrige estos problemas.

Detalle
  • CVE-2025-1107: vulnerabilidad de cambio de contraseña no verificado en Janto de Impronta. Esta podría permitir, a un atacante, no autenticado, cambiar la contraseña de otro usuario sin conocer su contraseña actual. Para aprovechar la vulnerabilidad, el atacante debe crear una solicitud POST específica y enviarla al endpoint “/public/cgi/Gateway.php”.
  • CVE-2025-1108: vulnerabilidad de verificación insuficiente de autenticidad de datos en Janto de Impronta. Esta permite que un atacante, no autenticado, modifique el contenido de los correos electrónicos que se envían para restablecer la contraseña. Para explotar la vulnerabilidad, el atacante debe crear una solicitud POST inyectando el contenido malicioso en el parámetro “Xml” en el endpoint “/public/cgi/Gateway.php”.
Listado de referencias
Web del producto – Janto

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.