La vulnerabilidad de control de acceso en el gestor de contenidos ZwiiCMS 13.6.07 permite la escalada de privilegios y podría derivar en el secuestro total de cuentas administrativas. La falla fue calificada con una puntuación de 8.3 de 10 en el CVSS.
Matías Schiappacasse y Lukas Gaete, especialistas de NIVEL4, identificaron recientemente una vulnerabilidad de alta severidad en el sistema de gestión de contenidos ZwiiCMS y que afecta a su versión 13.6.07. El fallo, ya registrado como CVE-2025-57130, reside en un control de acceso roto (Broken Access Control) que permite a un usuario autenticado con privilegios limitados (rol «Simple Member») realizar una escalada vertical de privilegios.
De acuerdo con los especialistas, “la explotación de esta vulnerabilidad permite a un usuario de bajos privilegios acceder y modificar la información de otros usuarios, incluidos los administradores del sistema”. Asimismo, indicaron que “el vector de ataque principal consiste en modificar la dirección de correo electrónico asociada a una cuenta administrativa. Al combinar esta acción con la función de restablecimiento de contraseña, un atacante puede tomar control total de la cuenta del administrador y, por ende, comprometer la totalidad del CMS”.
Adicionalmente, los especialistas señalaron que el fallo permite que el mismo usuario acceda a secciones restringidas, como el gestor de archivos, “aunque en este caso solo con permisos de lectura”, indicaron.
El pasado 29 de agosto, la Corporación MITRE asignó el identificador CVE-2025-57130 a la falla. El timeline del proceso hasta ese momento fue el siguiente:
23 de julio: Descubrimiento inicial de la vulnerabilidad.
24 de julio: Primer intento de contacto con el desarrollador.
25 de julio: Segundo intento de contacto a través de una vía alternativa.
2 de agosto: El desarrollador responde, publica el parche de seguridad y emite un reconocimiento público en el foro.
10 de agosto: Se envía la solicitud de identificador CVE a MITRE.
29 de agosto: MITRE asigna el identificador CVE.
5 de noviembre: Se publica CVE en sitio http://www.cve.org
El puntaje CVSS v3.1 asignado a esta falla es de 8.3 de un máximo de 10, reflejando un riesgo de severidad alta, con un vector de ataque remoto y sin necesidad de interacción del usuario (CVSS:3.1/AC:L/AV:N/A:L/C:H/I:H/PR:L/S:U/UI:N).
El fabricante publicó un parche de seguridad en la versión 13.6.08, la cual está disponible en su repositorio oficial y recomendaron a todos los usuarios actualizar a esta versión o a la más reciente disponible, ya que las últimas versiones cuentan con controles de autorización más robustos.
Los especialistas de NIVEL4 también compartieron algunas recomendaciones para los administradores de sitios basados en ZwiiCMS, como:
- Restringir temporalmente la creación de nuevas cuentas.
- Revisar los registros de acceso y actividad.
- Aplicar controles adicionales sobre las funciones de administración y recuperación de contraseñas.
Finalmente comentaron que “vulnerabilidades como éstas demuestran los riesgos asociados a fallos de control de acceso en plataformas de código abierto” y enfatizaron la importancia de las “revisiones de seguridad continuas incluso en sistemas con comunidades pequeñas pero activas”.