Inyección SQL (SQLi) en la plataforma Buroweb
Buroweb, versiones anteriores a 2505.0.13.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta a la plataforma web Buroweb, una plataforma centrada en consultorías, servicios en la nube, inteligencia artificial, seguridad y conectividad. La vulnerabilidad ha sido descubierta por Iban Ruiz de Galarreta Cadenas (Miembro del red team de CSA).
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-1432: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:L/SI:N/SA:L | CWE-89
La vulnerabilidad ha sido solucionada por el equipo de T-Systems en la versión 2505.0.13.
Se recomienda actualizar el software del sistema a esta versión o en su defecto a la última versión estable.
CVE-2026-1432: vulnerabilidad de Inyección SQL en la plataforma Buroweb versión 2505.0.12, concretamente en el componente ‘tablón‘. Esta vulnerabilidad está presente en varios parámetros que no eliminan correctamente la entrada del usuario en el endpoint ‘/sta/CarpetaPublic/doEvent?APP_CODE=STA&PAGE_CODE=TABLON‘.
La explotación de esta vulnerabilidad podría permitir a un atacante ejecutar consultas en la base de datos y poder acceder a información confidencial.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-1432 | crítica | no | T-Systems |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.