El investigador de seguridad Matías Schiappacasse identificó una falla de seguridad en ZwiiCMS (CVE-2025-34467) que podría permitir a usuarios autenticados con pocos privilegios bloquear funciones administrativas; la actualización a la versión 13.7.00 mitiga el riesgo.
El investigador de seguridad de NIVEL4, Matías Schiappacasse, fue acreditado recientemente por identificar una vulnerabilidad de denegación de servicio (DoS) registrada como CVE-2025-34467 y que afecta a la plataforma ZwiiCMS, un sistema de gestión de contenidos de código abierto, que pone en riesgo la disponibilidad de funciones administrativas en versiones anteriores a la 13.7.00.
El problema se origina en la forma en que ZwiiCMS maneja las solicitudes de páginas administrativas por parte de usuarios que tienen acceso al sistema, pero no cuentan con permisos elevados. Cuando un usuario autenticado de bajo privilegio intenta solicitar una de estas páginas, el gestor de contenidos devuelve un mensaje de “404 Not Found” como medida de seguridad para ocultar la existencia del recurso. Sin embargo, antes de completar la verificación de permisos, el sistema adquiere un bloqueo temporal sobre el recurso y lo asocia con la sesión del atacante. Ese bloqueo impide que otros usuarios, incluidos administradores legítimos, accedan a la funcionalidad afectada hasta que el atacante abandone la página o la sesión caduque.
Esta falla combina dos debilidades de programación: por un lado, el bloqueo inadecuado de recursos (CWE-667) y, por otro, la autorización incorrecta (CWE-863), lo que se traduce en un manejo erróneo del estado de recursos y controles de acceso que son fundamentales para mantener la disponibilidad de las funciones administrativas.
Aunque la vulnerabilidad no permite escalar privilegios ni acceder directamente a datos sensibles, su explotación puede generar interrupciones operativas significativas. Para organizaciones que dependen de ZwiiCMS para la gestión de contenido, un ataque exitoso podría bloquear temporalmente el acceso a paneles administrativos, obstaculizando tareas críticas como publicación de contenido, actualizaciones de seguridad o administración de usuarios.
El estándar de evaluación de vulnerabilidades CVSS v4.0 asigna a CVE-2025-34467 una puntuación base de 5,3, lo que indica un nivel de riesgo medio. Este nivel refleja principalmente el impacto en la disponibilidad de la plataforma y el hecho de que requiere que el atacante ya esté autenticado con acceso de bajo privilegio para provocar la condición de denegación de servicio.
Los desarrolladores de ZwiiCMS abordaron recientemente la falla advertida por el especialista de NIVEL4 en la versión 13.7.00, que corrige tanto la secuencia de verificación de autorización como la forma de gestionar los bloqueos de recursos, evitando que un usuario con permisos limitados pueda afectar la operatividad de funciones administrativas críticas. Actualizar a esta versión o a versiones posteriores es la principal medida recomendada para mitigar el problema.
Matías Schiappacasse, el especialista que encontró la falla comentó que “además de aplicar la actualización, los administradores de sistemas pueden implementar prácticas adicionales de seguridad para reducir el riesgo durante el periodo de transición, tales como restringir temporalmente el acceso de usuarios con privilegios mínimos a páginas administrativas, monitorear patrones inusuales de actividad y revisar los registros de acceso en busca de bloqueos repetidos que podrían indicar intentos de explotación”.