Vulnerabilidades y Avisos de Seguridad: Autorización incorrecta en Biloop de Adiss

Autorización incorrecta en Biloop de Adiss

Recursos Afectados

Biloop, versión 6.1.1.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta a Biloop de Adiss, plataforma y portal digital de cliente diseñado para despachos profesionales, asesorías y sus clientes. La vulnerabilidad ha sido descubierta por Jean-Michel Junod.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-12686: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:N | CWE-639
Identificador
INCIBE-2026-471

Solución

La vulnerabilidad ya se encuentra resuelta, por lo que se recomienda actualizar a la última versión disponible.

Detalle

CVE-2026-12686: un usuario autenticado podría manipular un parámetro de identificador de empresa en una solicitud POST del backend para obtener acceso no autorizado a otras empresas alojadas en el mismo entorno de subdominio. La aplicación no comprueba adecuadamente si el identificador de empresa solicitado pertenece a la sesión del usuario autenticado, lo que da lugar a una omisión de la autorización entre inquilinos. Si se aprovecha con éxito esta vulnerabilidad, se permite el acceso no autorizado a información confidencial de los clientes, incluidos los datos de facturación, y puede permitir la modificación no autorizada de datos de terceros.

5 – Crítica
Listado de referencias

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-12686 Crítica No Adiss

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.