Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en h6web de Grupo Anapi

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en h6web de Grupo Anapi

Aviso
Recursos Afectados
  • Aplicación h6web.
Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades: una de severidad crítica y otra de severidad media, que afectan a h6web de Grupo Anapi, una aplicación para gestionar cofradías y pagos en línea, las cuales han sido descubierta por Bertrand Lorente Yáñez.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-1270: CVSS v3.1: 9.1 | CVSS AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L | CWE-639
  • CVE-2025-1271: CVSS v3.1: 6.1 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79
Identificador
INCIBE-2025-0083

5 – Crítica
Solución

El equipo de Grupo Anapi ha tomado las siguientes medidas:

  • la vulnerabilidad de Insecure Direct Object Reference ha sido deshabilitada por completo;
  • la vulnerabilidad de Cross-Site Scripting (XSS) ha sido solucionada en la última versión.
Detalle
  • CVE-2025-1270: la vulnerabilidad de referencia directa insegura a objetos (IDOR) en H6Web del Grupo Anapi permite a un atacante autenticado acceder a la información de otros usuarios mediante una petición POST y la modificación del parámetro “pkrelacionado” en el endpoint “/h6web/ha_datos_hermano.php” para hacer referencia a otro usuario. Además, la primera solicitud también podría permitir al atacante suplantar la identidad de otros usuarios. Como resultado, todas las solicitudes realizadas después de la explotación de la vulnerabilidad IDOR se ejecutarán con los privilegios del usuario suplantado.
  • CVE-2025-1271: Cross-Site Scripting (XSS) reflejado en h6web del Grupo Anapi. Este fallo de seguridad podría permitir a un atacante inyectar código JavaScript malicioso en una URL. Cuando un usuario accede a dicha URL, el código inyectado se ejecuta en su navegador, lo que puede derivar en el robo de información sensible, la suplantación de identidad o la ejecución de acciones no autorizadas en nombre del usuario afectado.
Listado de referencias
Aplicación H6Web

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.