CVE-2025-1107

CRÍTIC (9,9)

CVSS3: 0,0

Vulnerabilitat de canvi de contrasenya no verificada a Janto, versions anteriors a r12. Això podria permetre que un atacant no autenticat canviés la contrasenya d’un altre usuari sense conèixer la seva contrasenya actual. Per explotar la vulnerabilitat, l’atacant ha de crear una sol·licitud POST específica i enviar-la al punt final “/public/cgi/Gateway.php”.

Sistemes Afectats

• Impronta Janto – 0

Remediació
Amb els pedaços implementats per l’equip d’Impronta, s’han corregit les vulnerabilitats detectades. A tots els clients que fan servir aquest producte en mode SaaS se’ls ha actualitzat a la versió r12 que soluciona aquests problemes.

Referències

• https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-janto