Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en productos de Sergestec

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en productos de Sergestec

Aviso
Recursos Afectados
  • Exito, versión 8.0;
  • SISTICK, versión 7.2.
Descripción

INCIBE ha coordinado la publicación de 4 vulnerabilidades, 2 de severidad crítica, 1 de severidad alta y 1 de severidad media, que afectan a Exito y SISTICK de Sergestec, un software de gestión de información. Las vulnerabilidades han sido descubiertas por Ignacio Aldarabi.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-41018 y CVE-2025-41019: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
  • CVE-2025-41020: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-639
  • CVE-2025-41021: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Identificador
INCIBE-2025-0559

5 – Crítica
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2025-41018: inyección SQL en Exito v8.0 de Sergestec. Esta vulnerabilidad permite a un atacante recuperar, crear, actualizar y eliminar bases de datos a través del parámetro ‘cat‘ en ‘/public.php‘.
  • CVE-2025-41019: inyección SQL en SISTICK v7.2 de Sergestec. Esta vulnerabilidad permite a un atacante recuperar, crear, actualizar y eliminar bases de datos a través del parámetro ‘id‘ en ‘/index.php?view=ticket_detail‘.
  • CVE-2025-41020: vulnerabilidad de referencias directas a objetos inseguros (IDOR) en Exito v8.0 de Sergestec. Esta vulnerabilidad permite a un atacante acceder a datos que pertenecen a otros clientes a través del parámetro ‘id‘ en ‘/admin/ticket_a4.php‘.
  • CVE-2025-41021: Cross-Site Scripting (XSS) almacenado en Exito v8.0 de Sergestec, que consiste en un XSS almacenado debido a la falta de validación adecuada de las entradas del usuario mediante el envío de una petición POST utilizando el parámetro ‘obs‘ en ‘/admin/index.php?action=product_update‘. Esta vulnerabilidad podría permitir a un usuario remoto enviar una consulta especialmente diseñada a un usuario autenticado y robar los detalles de su sesión de cookies.
Listado de referencias
Sergestec

CVE
Explotación
No

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.