Vulnerabilidades en el software Symfonia Ready_

On April 16, 2025, CERT Polska reported several vulnerabilities affecting Symfonia’s software product, Ready_. Each identified vulnerability, registered under different CVE (Common Vulnerabilities and Exposures) IDs, pertains to versions ranging from 7.0.0.0 to 7.19.39.23. The vulnerabilities are as follows:

  1. CVE-2025-1980: This vulnerability, classified as a "Carga sin restricciones de archivo con tipo peligroso" (CWE-434), allows users to upload files of any type and extension without restriction. If the server is misconfigured, which was a common occurrence following installations during 2021 and 2022, this can lead to remote code execution. This represents a significant security risk, as attackers could exploit this flaw to run unauthorized commands on the server.

  2. CVE-2025-1981: This issue stems from inadequate neutralization of user-supplied input, specifically concerning a search functionality in the invoices module of Ready_. This flaw, identified as "inyección SQL" (CWE-89), permits low-privileged users to execute SQL injection attacks. Such attacks can compromise the integrity of the database and potentially expose sensitive information, leading to further exploitation of the system.

  3. CVE-2025-1982: This vulnerability involves the accessibility of files or directories to external parties (CWE-552). It occurs in the file upload panel of Ready_, where low-privileged users can use the file:// protocol to link to local files. This could enable attackers to read sensitive system file contents, posing a substantial threat to data confidentiality.

  4. CVE-2025-1983: This security flaw is classified under "Neutralización inadecuada de la entrada durante la generación de páginas web" (CWE-79), leading to Cross-Site Scripting (XSS) vulnerabilities. Specifically, it allows arbitrary JavaScript injection into file names during the file upload process in Ready_. Infected inputs are then stored server-side and executed whenever users interact with the affected files, resulting in potential theft of session tokens or other malicious actions.

In summary, CERT Polska’s issuance of these CVEs underlines the significant security challenges associated with the Ready_ software. It highlights potential severe risks including remote code execution, SQL injection, local file inclusion, and Cross-Site Scripting vulnerabilities. Attackers can use these vulnerabilities to gain heightened access to the system, read unintended files, and execute malicious code.

The disclosures followed a responsible vulnerability reporting process, emphasizing the collaborative engagement between CERT Polska and Symfonia. Special thanks were given to Maksymilian Kubiak, Sławomir Zakrzewski, and Jakub Stankiewicz from the Afine team for their contributions to identifying and reporting these vulnerabilities.

For organizations utilizing the affected versions of Ready_, it is crucial to take immediate action by updating to secure versions or applying necessary patches to mitigate these risks. Users should remain vigilant and monitor their systems for any unusual activities that may indicate attempts to exploit these vulnerabilities. CERT Polska has provided guidelines on their coordinated disclosure process, facilitating better security awareness and practices among software providers and users alike. More information on this process can be found at their official website: CERT Polska.

Overall, these vulnerabilities highlight the importance of secure software practices and underline the value of ongoing collaboration between cybersecurity teams and software developers to enhance security measures and protect user data.

Enlace de la fuente, haz clic para tener más información

Artículos y alertas de seguridad

Consultar más contenidos y alertas

Alertas y noticias de seguridad de la información

Vulnerabilidades múltiples en el núcleo de Debian Linux

Se han identificado varias vulnerabilidades críticas en el núcleo del sistema operativo Debian Linux. Estas fallas de seguridad podrían ser explotadas por un atacante con

...
Más detalle de la noticia

El MUP invitó a la precaución por una llamada falsa para la inversión financiera

A recent alert from the Dirección de Policía has warned the public about a fraudulent video circulating on social media that falsely features former Finance

...
Más detalle de la noticia

Ejecución de código remoto no autenticado en Erlang/OTP SSH · Asesoría · Erlang/OTP · GitHub

Resumen de Vulnerabilidad en el Servidor ERLANG/OTP SSH Una grave vulnerabilidad ha sido descubierta en el servidor ERLANG/OTP SSH, la cual ofrece a un atacante

...
Más detalle de la noticia

Departamento de TI de Pentágono renunció

El Departamento de Servicio Digital de Defensa (DDS) del Pentágono, fundado en 2015, se enfrenta a una crisis significativa, con la intención de renunciar de

...
Más detalle de la noticia

Schneider Electric Trio Q Radio de datos con licencia

Resumen Ejecutivo y Evaluación de Riesgos de Vulnerabilidades en el Trio Q Radio de Schneider Electric 1. Resumen Ejecutivo La empresa Schneider Electric ha identificado

...
Más detalle de la noticia

Aviso de seguridad de Cisco (AV25-219) – Centro canadiense de seguridad cibernética

El 16 de abril de 2025, Cisco emitió avisos de seguridad para abordar vulnerabilidades en varios de sus productos. Estas alertas son cruciales para los

...
Más detalle de la noticia

Informe de amenazas e incidentes – cert -FR

La seguridad de las entidades de transporte urbano enfrenta una creciente amenaza a nivel global, siendo un objetivo cada vez más atractivo para empresas de

...
Más detalle de la noticia

Carta semanal de CERT-SE V.16-CERT-SE

Esta semana ha estado marcada por noticias significativas en el ámbito de la ciberseguridad, destacándose el anuncio inicial de Miter sobre la interrupción del financiamiento

...
Más detalle de la noticia

Cisco Nexus Dashboard LDAP Vulnerabilidad de enumeración de nombre de usuario

Cuando se evalúan actualizaciones de software, es crucial que los clientes se mantengan informados a través de los avisos de productos de Cisco disponibles en

...
Más detalle de la noticia

Apple arregla dos días cero explotados en ataques de iPhone específicos

Apple ha lanzado actualizaciones de seguridad de emergencia para abordar dos vulnerabilidades críticas de día cero que han sido utilizadas en un «ataque extremadamente sofisticado»

...
Más detalle de la noticia

CISA agrega una vulnerabilidad explotada conocida al catálogo

La Agencia de Seguridad de Ciberinfraestructura y Seguridad (CISA) ha incorporado una nueva vulnerabilidad a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV por sus siglas

...
Más detalle de la noticia

Vulnerabilidades múltiples de Apple Products

Recientemente se han identificado múltiples vulnerabilidades en productos de Apple, que representan serios riesgos para la seguridad de los sistemas afectados. Entre estas, se destaca

...
Más detalle de la noticia

Múltiples vulnerabilidades en Oracle MySQL

Recent discoveries reveal multiple vulnerabilities within Oracle MySQL, which pose significant security risks including remote denial of service, threats to data confidentiality, and potential data

...
Más detalle de la noticia

Advertencia: los atacantes se presentan como bufetes de abogados y archivos maliciosos más amplios

El Certificado Nacional ha emitido una advertencia sobre un fraude creciente en el que los atacantes se hacen pasar por firmas de abogados, amenazando a

...
Más detalle de la noticia

Actividad de la República Popular de China dirigida a los enrutadores de la red: observaciones y estrategias de mitigación

Resumen del Aviso de Seguridad Cibernética Este aviso está dirigido a profesionales y gerentes de TI en el gobierno y sectores diversos, y entrará en

...
Más detalle de la noticia
Contacta

Contacta con nosotros para obtener soluciones integrales en IT y seguridad de la información

Estamos encantados de responder cualquier pregunta que puedas tener, y ayudarte a determinar cuáles de nuestros servicios se adaptan mejor a tus necesidades.

Llámanos: Pulsa aquí
Nuestros beneficios:
  • Orientación a cliente
  • Independencia de proveedores
  • Competencias contrastadas y certificadas
  • Orientación a resultados (KPIs)
  • Resolución de problemas
  • Transparencia
¿Qué sucede a continuación?
1

Programamos una llamada según tu conveniencia.

2

Realizamos una reunión de descubrimiento y consultoría.

3

Preparamos una propuesta.

Agenda una consulta gratuita