CVE-2025-12480

CVSS 9.1 CRITICALEPSS 90.4%● KEVCWE-284

En resumen

Las versiones de Triofox anteriores a la 16.7.10368.56560 tienen una falla que permite a los atacantes acceder a las páginas de configuración inicial incluso después de que la instalación esté completa. Esto es peligroso porque estas páginas contienen opciones de configuración sensibles y funciones administrativas que deberían estar disponibles solo durante la instalación.

Detalle técnico

Una vulnerabilidad de control de acceso impropio (CWE-284) en Triofox permite a usuarios no autenticados o no autorizados eludir restricciones de acceso y alcanzar interfaces de configuración inicial después de la implementación. Esto permite que los atacantes reconfiguran parámetros del sistema, modifiquen credenciales administrativas o extraigan datos de configuración sensibles sin credenciales de autenticación válidas.

Resumen generado y traducido por IA a partir de la descripción oficial.

Triofox versions prior to 16.7.10368.56560, are vulnerable to an Improper Access Control flaw that allows access to initial setup pages even after setup is complete.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Productos afectados

TrioFox · TrioFox

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://access.triofox.com/releases_history/https://cloud.google.com/blog/topics/threat-intelligence/triofox-vulnerability-cve-2025-12480 https://github.com/mandiant/Vulnerability-Disclosures/blob/master/2025/MNDT-2025-0008.md https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-12480 https://www.triofox.com/