Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en Limesurvey

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en Limesurvey

Aviso
Recursos Afectados

LimeSurvey, versión 6.13.0.

Descripción

INCIBE ha coordinado la publicación de 3 vulnerabilidades de severidad media que afectan a Limesurvey 6.13.0 de Limesurvey, una aplicación de encuestas en línea. Las vulnerabilidades han sido descubiertas por Julen Garrido Estevez.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-41074: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N | CWE-835
  • CVE-2025-41075: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N | CWE-835
  • CVE-2025-41076: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-209
Identificador
INCIBE-2025-0651

3 – Media
Solución

Las vulnerabilidades han sido solucionadas por el equipo en la versión 6.15.0.

Detalle
  • Vulnerabilidad en LimeSurvey 6.13.0 que provoca redireccionamientos HTTP infinitos cuando se accede a él directamente. Este comportamiento puede aprovecharse para generar una condición de Denegación de Servicio (DoS) agotando los recursos del servidor o del cliente. El sistema no consigue romper el bucle de redireccionamiento, lo que puede provocar una degradación del servicio o inestabilidad del navegador.
    • CVE-2025-41074: en el endpoint ‘/optout‘.
    • CVE-2025-41075: en el endpoint ‘/optin‘.
  • CVE-2025-41076: En la versión 6.13.0 de LimeSurvey, cualquier usuario externo puede provocar un error 500 en el sistema de encuestas enviando una cookie de sesión mal formada. En lugar de mostrar un mensaje de error genérico, el sistema expone información interna del backend, incluyendo el uso del framework Yii, el motor de base de datos MySQL/MariaDB, el nombre de la tabla ‘lime_sessions’, las claves primarias y fragmentos del contenido que causó el conflicto. Esta información puede facilitar la recopilación de datos sobre la arquitectura interna de la aplicación por parte de un atacante.
Listado de referencias
LimeSurvey Herramienta de encuestas gratuita

CVE
Explotación
No

Fabricante
limesurvey

Identificador CVE
CVE-2025-41074

Severidad
Media

Explotación
No

Fabricante
limesurvey

Identificador CVE
CVE-2025-41075

Severidad
Media

Explotación
No

Fabricante
limesurvey

Identificador CVE
CVE-2025-41076

Severidad
Media

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.