Múltiples vulnerabilidades en productos de Imaster
- MEMS Events CRM;
- Patient Records Management System.
INCIBE ha coordinado la publicación de 4 vulnerabilidades, 1 de severidad crítica, 2 de severidad alta y 1 de severidad media, que afectan a MEMS Events CRM y Patient Records Management System de Imaster, programas para la gestión empresarial. Las vulnerabilidades han sido descubiertas por Gonzalo Aguilar García (6h4ack).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-41003: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
- CVE-2025-41004 y CVE-2025-41005: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
- CVE-2025-41006: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
No hay solución reportada por el momento.
- CVE-2025-41003: el Sistema de Gestión de Registros de Pacientes de Imaster contiene una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el endpoint ‘/projects/hospital/admin/edit_patient.php‘. Al inyectar un script malicioso en el parámetro ‘firstname‘, el código JavaScript se almacena y ejecuta cada vez que un usuario accede a la lista de pacientes, permitiendo a un atacante ejecutar JavaScript arbitrario en el navegador de una víctima.
- CVE-2025-41004: el Sistema de Gestión de Registros de Pacientes de Imaster es vulnerable a SQL Injection en el endpoint ‘/projects/hospital/admin/complaints.php‘ a través del parámetro ‘id‘.
- El CRM MEMS Events de Imaster contiene una vulnerabilidad de inyección SQL. La relación de parámetros e identificadores asignados es la siguiente:
- CVE-2025-41005: parámetro ‘keyword‘ en ‘/memsdemo/exchange_offers.php‘.
- CVE-2025-41006: parámetro ‘phone’ en ‘/memsdemo/login.php‘.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.