Obtener Issabel
Boletin de noticias

Corrección de vulnerabilidad XSS en Issabel 5.0.0 (Advisory ID INC-2025-0012)

En respuesta a la notificación de seguridad emitida por el Instituto Nacional de Ciberseguridad (INCIBE) de España bajo el ID INC-2025-0012, informamos que la vulnerabilidad detectada en Issabel v5.0.0 ha sido identificada, corregida y solucionada mediante actualizaciones de los paquetes correspondientes.

🛡️ Descripción de la vulnerabilidad

  • Tipo: Stored Cross Site Scripting (XSS)

  • CWE: CWE-79 – Improper Neutralization of Input During Web Page Generation

  • Vector: Envío de una solicitud POST a /index.php?menu=conference utilizando el parámetro conference_number.

  • Impacto potencial: Bajo ciertas condiciones, un atacante autenticado podría enviar una carga especialmente diseñada que, si es abierta por otro usuario autenticado, podría exponer datos de sesión.

  • CVSS v3.1 Base Score: 5.4

  • Productos afectados: Issabel v5.0.0

  • Fecha de notificación a Issabel: Enero 2025

Aunque esta vulnerabilidad fue calificada como de severidad media, su explotación efectiva resulta altamente improbable debido a las limitaciones del código ejecutable y las condiciones de acceso requeridas.

Solución aplicada

El equipo de desarrollo de Issabel publicó el día 10 de febrero de 2025 actualizaciones de los siguientes paquetes:

  • issabel-pbx versión 5.0.0-4

  • issabel-agenda versión 5.0.0-2

Estas versiones corrigen el problema mediante una validación más estricta del parámetro afectado. Los paquetes están disponibles en el repositorio de actualizaciones oficiales de Issabel.

Comando de actualización recomendado:

yum update issabel-pbx issabel-agenda

Enlaces a los paquetes:

  • http://repo.issabel.org/issabel/5/updates/noarch/RPMS/issabel-agenda-5.0.0-2.noarch.rpm
  • http://repo.issabel.org/issabel/5/updates/noarch/RPMS/issabel-pbx-5.0.0-4.noarch.rpm

Validación de la corrección

Se realizaron pruebas funcionales completas en entorno controlado, confirmando que:

  • La creación, edición y eliminación de conferencias y entradas en la agenda funcionan correctamente.
  • No se detectaron efectos colaterales en el funcionamiento general del sistema.
  • Los cambios ya han sido promovidos desde el repositorio alfa al repositorio updates, por lo que están disponibles para todos los usuarios.

🤝 Agradecimientos

Agradecemos a INCIBE por su comunicación responsable y colaboración en el proceso de notificación y resolución. Esta interacción contribuye al fortalecimiento del ecosistema de software libre y de las plataformas críticas de comunicaciones.

El equipo de Issabel

Comparte este artículo
Facebook
Twitter
LinkedIn
Telegram

“I am honored to recognize Issabel, LLC with a 2023 Product of the Year Award for its commitment to excellence and innovation,” said Rich Tehrani, CEO, TMC.

Issabel® is developed and managed by Issabel® LLC. company formed by a group of professionals from different countries. 

Our team is a leader in open source innovation with implementations and success stories in different continents. Our experience in developing these technologies has allowed us to develop, maintain and improve unified communications platforms.

Conecta con nosotros
Facebook-f Instagram Linkedin-in Telegram-plane
© 2025 Issabel.com – All Rights Reserved.