Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Inyección SQL en la plataforma SaaS de Clickedu

In Noticias y Avisos CiberseguridadPosted

Inyección SQL en la plataforma SaaS de Clickedu

Aviso
Recursos Afectados

Plataforma SaaS de Clickedu.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a la plataforma SaaS de Clickedu, una plataforma para la eficiencia en la gestión educativa. La vulnerabilidad ha sido descubierta por Kevin Gonzalvo Vicente.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-2247: CVSS v4.0: 8.3 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N | CWE-89
Identificador
INCIBE-2026-117

Solución

La vulnerabilidad ha sido solucionada por el equipo de Clickedu en la integración del día 26/01.

Detalle

CVE-2026-2247: vulnerabilidad de inyección SQL (SQLi) en Clicldeu SaaS, concretamente en la generación de boletines, que se produce cuando un atacante remoto previamente autenticado ejecuta una carga maliciosa en la URL generada tras descargar el boletín de notas del alumno en la sección ‘Día a día’ desde la aplicación móvil.

En la URL del PDF generado, el token de sesión utilizado no caduca, por lo que sigue siendo válido durante días después de su generación, y se pueden introducir caracteres inusuales después del parámetro ‘id_alu‘, lo que da lugar a dos tipos de SQLi: boolean-based blind y time-based blind. La explotación de esta vulnerabilidad podría permitir a un atacante acceder a información confidencial de la base de datos.

4 – Alta
Listado de referencias
Clickedu, plataforma para la gestión de centros educativos

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-2247 Alta No Clickedu

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.