Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en Xibo CMS

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en Xibo CMS

Aviso
Recursos Afectados
  • Xibo CMS, versiones anteriores a la 4.2.2.
Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad media, que afectan a Xibo CMS de Xibo Signage, un sistema de gestión de contenido. Las vulnerabilidades han sido descubiertas por Marina Fabregat Expósito.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-41088: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
  • CVE-2025-41089: CVSS v4.0: 4.8 | CVSS AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Identificador
INCIBE-2025-0554

3 – Media
Solución

Las vulnerabilidades han sido solucionadas por el equipo de Xibo Signage en la versión 4.2.2.

Detalle
  • CVE-2025-41088: Cross-Site Scripting (XSS) almacenado en Xibo CMS v4.1.2 de Xibo Signage, debido a la falta de validación adecuada de las entradas del usuario. Para explotar la vulnerabilidad el atacante debe crear una plantilla en la sección ‘Templates‘, luego añadir un elemento de texto en la sección ‘Global Elements‘, y finalmente modificar el campo ‘Text‘ de la sección con el payload malicioso.
  • CVE-2025-41089: Cross-Site Scripting (XSS) reflejado en Xibo CMS v4.1.2 de Xibo Signage, debido a la falta de validación adecuada de las entradas del usuario. Para explotar la vulnerabilidad el atacante debe crear una plantilla en la sección ‘Templates‘, luego añadir algún elemento que tenga el campo ‘Configuration Name‘, como por ejemplo el widget ‘Clock‘. A continuación, modificar el campo ‘Nombre de configuración‘ de la sección de la izquierda. 

Nota: el proveedor señala que la herramienta de editor de plantillas, y otras herramientas de contenido en el CMS, están diseñadas para permitir la entrada y ejecución de JavaScript, por lo que consideran este resultado como esperado.

Listado de referencias
Xibo CMS – Digital Signage Content Management System

CVE
Explotación
No

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.