Varias fallas de seguridad en Eventobot

⟫ 09/03/2026 ⟫ INCIBE

Fuente: INCIBE

El ámbito de la ciberseguridad está en constante evolución, y la reciente divulgación de vulnerabilidades en Eventobot, una plataforma diseñada para la gestión de eventos y la venta de entradas, resalta la importancia de la seguridad en el desarrollo de software. Esta situación adquiere relevancia no solo para los usuarios de la plataforma, sino también para la industria en su conjunto, considerando que las aplicaciones web son un objetivo recurrente de los atacantes debido a la información sensible que manejan. Las vulnerabilidades han sido identificadas y reportadas por Gonzalo Aguilar García, conocido en la comunidad de seguridad como 6h4ack, y han sido coordinadas para su divulgación por el Instituto Nacional de Ciberseguridad (INCIBE).

Las vulnerabilidades identificadas son dos: CVE-2025-40639, que se clasifica con una severidad alta, y CVE-2025-40638, con una severidad media. Ambas vulnerabilidades se han evaluado utilizando el sistema de puntuación CVSS v4.0, que proporciona un marco estandarizado para evaluar la gravedad de las vulnerabilidades de seguridad. En concreto, CVE-2025-40639 tiene una puntuación de 8.7, lo que indica un riesgo significativo para los sistemas afectados, mientras que CVE-2025-40638 tiene una puntuación de 5.1, indicando una preocupación menor, pero aún válida.

La vulnerabilidad CVE-2025-40639 se relaciona con una inyección SQL, un tipo de ataque que permite a un atacante manipular consultas a la base de datos. En este caso, la vulnerabilidad permite a un atacante recuperar, crear, actualizar y eliminar registros en la base de datos a través del parámetro 'promo_send' en el endpoint '/assets/php/calculate_discount.php'. Esto podría resultar en la exposición de datos sensibles y en la posibilidad de realizar operaciones maliciosas que comprometan la integridad de la información almacenada en la base de datos de Eventobot.

Por otro lado, la CVE-2025-40638 es una vulnerabilidad de tipo Cross-Site Scripting (XSS) reflejado. Este tipo de vulnerabilidad permite a un atacante inyectar código JavaScript malicioso que se ejecuta en el navegador de la víctima. En este caso, se aprovecha el parámetro 'name' en la ruta '/search-results' para enviar una URL manipulada. Mediante esta técnica, el atacante podría robar información sensible, como cookies de sesión, y potencialmente realizar acciones en nombre del usuario, lo que representa un riesgo significativo para la privacidad y seguridad de los usuarios de la plataforma.

El impacto de estas vulnerabilidades es considerable, especialmente para las empresas que utilizan Eventobot para la gestión de sus eventos. La explotación de la inyección SQL podría dar lugar a la pérdida de datos críticos y a un daño considerable en la reputación de la empresa, así como a implicaciones legales por la exposición de datos personales. Además, la vulnerabilidad XSS podría llevar a la suplantación de identidad y a la pérdida de confianza por parte de los usuarios finales, lo que podría resultar en una disminución de las ventas y una afectación directa al negocio.

Históricamente, las vulnerabilidades de inyección SQL han sido responsables de algunos de los brechas de seguridad más graves en la historia de la ciberseguridad, como el caso de Target en 2013, que resultó en la exposición de datos de millones de usuarios. Por otro lado, las vulnerabilidades XSS han sido utilizadas en ataques de phishing y otros tipos de fraudes en línea, lo que subraya la necesidad de una vigilancia constante y de la implementación de prácticas de codificación seguras.

Para mitigar los riesgos asociados a estas vulnerabilidades, es crucial que las empresas que utilizan Eventobot actualicen su software a la última versión, que ya incluye soluciones a estas fallas. Además, se recomienda adoptar prácticas de desarrollo seguro, como la validación y sanitización de entradas del usuario, el uso de consultas preparadas para prevenir inyecciones SQL y la implementación de políticas robustas de seguridad en la gestión de sesiones. La educación continua de los desarrolladores sobre las amenazas emergentes y las mejores prácticas de seguridad es esencial para proteger tanto a la empresa como a sus usuarios.

◢ VULNERABILIDADES ◣

Multiple vulnerabilities in Eventobot

⟫ 09/03/2026 ⟫ INCIBE

Source: INCIBE

INCIBE has coordinated the publication of 2 vulnerabilities, 1 of high severity and 1 of medium severity, affecting Eventobot, a platform for event management and ticket sales. The vulnerabilities were discovered by Gonzalo Aguilar García (6h4ack).

The following codes, CVSS v4.0 base scores, CVSS vectors, and CWE vulnerability types have been assigned to these vulnerabilities:

CVE-2025-40639: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:N | CWE-89

CVE-2025-40638: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79

The vulnerabilities have been addressed by the Eventobot team in the latest version.

CVE-2025-40638: reflected Cross-Site Scripting (XSS) vulnerability in Eventobot. This vulnerability allows an attacker to execute JavaScript code in the victim's browser by sending a malicious URL using the 'name' parameter in '/search-results'. This vulnerability can be exploited to steal sensitive user data, such as session cookies, or to perform actions on behalf of the user.

CVE-2025-40639: SQL injection vulnerability in Eventobot. This vulnerability allows an attacker to retrieve, create, update, and delete databases through the 'promo_send' parameter in the endpoint '/assets/php/calculate_discount.php'.

← VOLVER A CIBERSEGURIDAD