Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en productos de Imaster

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en productos de Imaster

Aviso
Recursos Afectados
  • MEMS Events CRM;
  • Patient Records Management System.
Descripción

INCIBE ha coordinado la publicación de 4 vulnerabilidades, 1 de severidad crítica, 2 de severidad alta y 1 de severidad media, que afectan a MEMS Events CRM y Patient Records Management System de Imaster, programas para la gestión empresarial. Las vulnerabilidades han sido descubiertas por Gonzalo Aguilar García (6h4ack).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-41003: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
  • CVE-2025-41004 y CVE-2025-41005: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
  • CVE-2025-41006: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
Identificador
INCIBE-2026-015

5 – Crítica
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2025-41003: el Sistema de Gestión de Registros de Pacientes de Imaster contiene una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el endpoint /projects/hospital/admin/edit_patient.php‘. Al inyectar un script malicioso en el parámetro ‘firstname‘, el código JavaScript se almacena y ejecuta cada vez que un usuario accede a la lista de pacientes, permitiendo a un atacante ejecutar JavaScript arbitrario en el navegador de una víctima.
  • CVE-2025-41004: el Sistema de Gestión de Registros de Pacientes de Imaster es vulnerable a SQL Injection en el endpoint ‘/projects/hospital/admin/complaints.php‘ a través del parámetro ‘id‘.
  • El CRM MEMS Events de Imaster contiene una vulnerabilidad de inyección SQL. La relación de parámetros e identificadores asignados es la siguiente:
    • CVE-2025-41005: parámetro ‘keyword‘ en ‘/memsdemo/exchange_offers.php‘.
    • CVE-2025-41006: parámetro ‘phone’ en ‘/memsdemo/login.php‘.
Listado de referencias
Imaster Technologies

CVE
Explotación
No

Nuevo Fabricante
Imaster

Identificador CVE
CVE-2025-41003

Severidad
Media

Explotación
No

Nuevo Fabricante
Imaster

Identificador CVE
CVE-2025-41004

Severidad
Alta

Explotación
No

Nuevo Fabricante
Imaster

Identificador CVE
CVE-2025-41005

Severidad
Alta

Explotación
No

Nuevo Fabricante
Imaster

Identificador CVE
CVE-2025-41006

Severidad
Crítica

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.