CVE-2025-67223

Descripción de la Vulnerabilidad

La vulnerabilidad CVE-2025-67223 afecta a la componente Aranda File Server (AFS) del software Aranda Service Desk, específicamente en versiones anteriores a 8.3.12. La falla permite a atacantes no autenticados acceder a registros de actividad diarios almacenados con nombres predecibles en un directorio públicamente accesible. Esto facilita la obtención de rutas virtuales directas de archivos subidos, lo que permite a los攻击者 descargue documentos sensibles que contienen datos personales identificables (PII).

Sistemas Afectados

El componente afectado es Aranda Service Desk con versiones anteriores a 8.3.12, incluyendo versiones de Aranda Software Aranda Service Desk que no tengan actualizaciones de seguridad recientes. Los usuarios que dependen del sistema para almacenar y gestionar archivos sensibles están expuestos a riesgos de exposición de datos.

Impacto y Explotabilidad

La vulnerabilidad tiene un score CVSS de 7.5 (ALTO), lo que refleja un alto nivel de riesgo. El atacante puede explotarla sin necesidad de autenticación o permisos adicionales, lo que permite la recuperación de archivos sensibles con acceso remoto. La exposición de PII puede llevar a consecuencias graves como violaciones de privacidad, robo de información crítica y daños financieros.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

La solución recomendada es actualizar el software Aranda Service Desk a una versión posterior a 8.3.12, donde se haya incluido el parche que resuelva esta vulnerabilidad. Los administradores de sistemas deben revisar las actualizaciones oficiales del vendor para aplicar las correcciones de seguridad adecuadas. La implementación de controles de acceso adicionales y la monitorización continua de los archivos sensibles también son medidas preventivas recomendadas.