Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en Softdial Contact Center

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en Softdial Contact Center
Mar, 18/03/2025 – 09:50

Aviso

Recursos Afectados

Softdial Contact Center.

Descripción

INCIBE ha coordinado la publicación de 3 vulnerabilidades, 2 de severidad alta y una media, que afectan a Softdial Contact Center de Sytel Ltd, un software de gestión de contact centers. Estas vulnerabilidades han sido descubiertas por Víctor Rodríguez Carreño, del equipo de Telefónica Tech.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-2493: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-22
  • CVE-2025-2494: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-434
  • CVE-2025-2495: CVSS v4.0: 5.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79

Identificador
INCIBE-2025-0144

4 – Alta

Solución

No hay solución reportada por el momento.

Detalle

  • CVE-2025-2493: Path Traversal en Softdial Contact Center de Sytel Ltd. Esta vulnerabilidad permite a un atacante manipular el parámetro “id” del endpoint “/softdial/scheduler/load.php” para navegar más allá del directorio deseado. Esto puede permitir el acceso no autorizado a archivos confidenciales fuera del alcance esperado, lo que supone un riesgo para la seguridad.
  • CVE-2025-2494: carga de archivos sin restricciones en Softdial Contact Center de Sytel Ltd. Esta vulnerabilidad podría permitir a un atacante cargar archivos al servidor a través del endpoint “/softdial/phpconsole/upload.php”, que está protegido por autenticación básica HTTP. Los archivos se cargan en un directorio expuesto por la aplicación web, lo que puede resultar en la ejecución de código, otorgando al atacante control total sobre el servidor.
  • CVE-2025-2495: Cross-Site Scripting (XSS) almacenado en Softdial Contact Center de Sytel Ltd. Esta vulnerabilidad permite a un atacante cargar archivos XML en el servidor con código JavaScript inyectado a través del recurso “/softdial/scheduler/save.php”. El código inyectado se ejecutará cuando el archivo subido se cargue a través del recurso “/softdial/scheduler/load.php” y puede redirigir a la víctima a sitios maliciosos o robar su información de inicio de sesión para suplantar su identidad.

Listado de referencias

Sytel Ltd – Cloud Contact Center Software

Etiquetas

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.