Control de acceso insuficiente en la gestión de sesiones de Sesame Time
Los siguientes endopoints de la aplicación web Sesame Time están afectados:
- api/v3/security/login (creación de USID);
- /api/v3/security/me (exposición de datos según USID);
- otros endpoints privados como /private/notification/v1/ (aceptan USID).
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a la aplicación web de Sesame Time, un software de gestión de recursos humanos y control horario. La vulnerabilidad ha sido descubierta por Miguel Jiménez Cámara.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-15389: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-639
La vulnerabilidad ha sido solucionada por el equipo de Sesame Time en la última versión disponible.
La actualización incorpora mejoras en el mecanismo de autenticación y refuerza las validaciones de autorización en el servidor para garantizar que cada sesión únicamente pueda acceder a la información asociada al usuario autenticado.
CVE-2026-15389: se ha identificado una vulnerabilidad de control de acceso insuficiente en la gestión de sesiones de la aplicación web de Sesame Time y su API REST v3. El fallo radica en que el sistema utiliza el identificador de sesión (USID) como único mecanismo de validación, sin verificar si dicho identificador pertenece legítimamente al usuario que realiza la petición. Como consecuencia, un atacante que obtenga un USID válido puede suplantar la sesión de una víctima y acceder a su información confidencial, incluyendo correos electrónicos, identificadores de usuario, roles y datos corporativos. Esta vulnerabilidad se ve agravada por una deficiente gestión del ciclo de vida de las sesiones: los nuevos inicios de sesión generan identificadores USID adicionales sin revocar los anteriores, lo que permite la coexistencia de múltiples sesiones activas y amplía la superficie de ataque.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-15389 | Alta | No | Sesame |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.