Múltiples vulnerabilidades en Minerva de MphRx
Minerva V3.6.0.
INCIBE ha coordinado la publicación de 3 vulnerabilidades, 1 de severidad crítica y 2 de severidad alta, que afectan a Minerva V3.6.0 de MphRx, una plataforma de datos de salud. Las vulnerabilidades han sido descubiertas por Alejandro Rivera León.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2026-5779: CVSS v4.0: 9.4 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:H | CWE-284
- CVE-2026-5780: CVSS v4.0: 8.5 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H | CWE-284
- CVE-2026-5781: CVSS v4.0: 8.5 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:H | CWE-285
No hay solución reportada por el momento.
- CVE-2026-5779: referencia directa a objetos insegura (IDOR) en Minerva V3.6.0 de MphRx, concretamente en el endpoint ‘/minerva/user/updateUserProfile’. Esto permite a un usuario autenticado modificar la información de otros usuarios registrados. La explotación exitosa de esta vulnerabilidad permite a un usuario autenticado modificar la información de otros usuarios, como la dirección de correo electrónico, y solicitar una nueva contraseña a través del punto final ‘/webconnect/#/forgotPassword’. Esto podría dar lugar a la apropiación total de la cuenta.
- CVE-2026-5780: referencia insegura a objetos directos (IDOR) en en Minerva V3.6.0 de MphRx, concretamente en el endpoint ‘/minerva/moUser/show/<ID>‘. Si se aprovecha con éxito esta vulnerabilidad, un usuario autenticado puede acceder a los datos de otros usuarios registrados con solo modificar el ID. Esto permite obtener una lista de los usuarios.
- CVE-2026-5781: autorización incorrecta en Minerva V3.6.0 de MphRx, concretamente en el endpoint ‘/minerva/moUser/update’ podría permitir que un usuario autenticado con privilegios de modificación de usuarios elevara sus privilegios enviando una solicitud HTTP con el campo ‘identifier‘ manipulado. La explotación exitosa de esta vulnerabilidad podría permitir que un usuario autenticado obtuviera privilegios de administrador. No es posible elevar privilegios a través de la interfaz gráfica de usuario.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-5779 | Crítica | No | MphRx |
| CVE-2026-5780 | Alta | No | MphRx |
| CVE-2026-5781 | Alta | No | MphRx |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.