Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en productos de WorkDo

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en productos de WorkDo

Aviso
Recursos Afectados
  • TicketGo;
  • eCommerceGo SaaS;
  • HRMGo.
Descripción

INCIBE ha coordinado la publicación de 4 vulnerabilidades, 4 de severidad media, que afectan a TicketGo, eCommerceGo SaaS y HRMGo de WorkDo. Las vulnerabilidades han sido descubiertas por Gonzalo Aguilar García (6h4ack).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • Desde CVE-2025-40975 hasta CVE-2025-40978: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Identificador
INCIBE-2026-014

3 – Media
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2025-40975: vulnerabilidad de Cross-Site Scripting (XSS) almacenado en HRMGo de WorkDo, que consiste en una falta de validación adecuada de las entradas del usuario mediante el envío de una solicitud POST a ‘/hrmgo/ticket/changereply‘, utilizando el parámetro ‘description‘.
  • CVE-2025-40976: vulnerabilidad de Cross-Site Scripting (XSS) almacenado en TicketGo de WorkDo, que consiste en una falta de validación adecuada de las entradas del usuario mediante el envío de una solicitud POST a ‘/ticketgo-saas/home‘, utilizando el parámetro ‘description‘.
  • CVE-2025-40977: vulnerabilidad de Cross-Site Scripting (XSS) almacenado en eCommerceGo SaaS de WorkDo, que consiste en una falta de validación adecuada de las entradas del usuario mediante el envío de una solicitud POST a ‘/store-ticket‘, utilizando los parámetros ‘subject‘ y ‘description‘.
  • CVE-2025-40978: vulnerabilidad Cross-Site Scripting (XSS) almacenado en eCommerceGo SaaS de WorkDo, que consiste en un XSS almacenado debido a la falta de validación adecuada de las entradas del usuario mediante el envío de una petición POST a ‘/ticket/x/conversión‘, utilizando el parámetro ‘reply_description‘.
Listado de referencias
WorkDo.io: All-in-One SaaS & ERP Solutions For Grow Business

CVE
Explotación
No

Nuevo Fabricante
WorkDo

Identificador CVE
CVE-2025-40975

Severidad
Media

Explotación
No

Nuevo Fabricante
WorkDo

Identificador CVE
CVE-2025-40976

Severidad
Media

Explotación
No

Nuevo Fabricante
WorkDo

Identificador CVE
CVE-2025-40977

Severidad
Media

Explotación
No

Nuevo Fabricante
WorkDo

Identificador CVE
CVE-2025-40978

Severidad
Media

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.