Inyección SQL fuera de banda en Evaluación de Desempeño de Quatuor
Evaluación de Desempeño (EDD).
INCIBE ha coordinado la publicación de 12 vulnerabilidades de severidad crítica, que afectan a la Evaluación de Desempeño de Quatuor, herramienta de evaluación para empresas. Las vulnerabilidades han sido descubiertas por Óscar Atienza Vendrell.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- de CVE-2026-1472 a CVE-2026-1483: CVSS v4.0: 9.3 | CVSS:4.0 AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N | CWE-89
Las vulnerabilidades han sido resueltas en la última versión del aplicativo, lanzada el 12 de noviembre de 2025, y ya no son explotables.
Se ha detectado una vulnerabilidad de inyección SQL fuera de banda (OOB SQLi) en el aplicativo Evaluación de Desempeño (EDD) de la empresa Gabinete Técnico de Programación.
La explotación de esta vulnerabilidad podría permitir a un atacante extraer información sensible de la base de datos mediante canales externos, sin que la aplicación afectada devuelva los datos directamente, comprometiendo la confidencialidad de la información almacenada.
La relación de parámetros e identificadores asignados es la siguiente:
- CVE-2026-1472: parámetro ‘txAny‘ en ‘/evaluacion_competencias_autoeval_list.aspx‘;
- CVE-2026-1473: parámetro ‘Id_usuario’ en ‘/evaluacion_competencias_evalua.aspx‘;
- CVE-2026-1474: parámetros ‘Id_usuario’ e ‘Id_evaluacion‘ en ‘/evaluacion_inicio.aspx’;
- CVE-2026-1475: parámetro ‘Id_usuario‘ en ‘/evaluacion_acciones_evalua.aspx’;
- CVE-2026-1476: parámetro ‘Id_usuario‘ en ‘/evaluacion_acciones_ver_auto.aspx’;
- CVE-2026-1477: parámetros ‘Id_usuario‘ e ‘Id_evaluacion’ en ‘/evaluacion_competencias_evalua_old.aspx’;
- CVE-2026-1478: parámetros ‘Id_usuario‘ e ‘Id_evaluacion’ en ‘/evaluacion_hca_evalua.aspx’;
- CVE-2026-1479: parámetros ‘Id_usuario‘ e ‘Id_evaluacion’ en ‘/evaluacion_hca_ver_auto.asp‘;
- CVE-2026-1480: parámetro ‘Id_usuario‘ en ‘/evaluacion_objetivos_anyo_sig_evalua.aspx‘;
- CVE-2026-1481: parámetro ‘Id_usuario‘ en ‘/evaluacion_objetivos_anyo_sig_ver_auto.aspx‘;
- CVE-2026-1482: parámetro ‘Id_evaluacion‘ en ‘/evaluacion_objetivos_evalua_definido.aspx‘;
- CVE-2026-1483: parámetro ‘Id_usuario‘ en ‘/evaluacion_objetivos_ver_auto.aspx‘.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.