Research & Disclosure

Investigación en Seguridad

Parte de nuestro trabajo como firma de ciberseguridad ofensiva es devolver a la comunidad.

Nuestro compromiso con la comunidad

En Secra no sólo encontramos vulnerabilidades en entornos de cliente: también dedicamos tiempo a investigar productos y servicios de uso extendido. Cuando localizamos un fallo de seguridad, lo comunicamos al fabricante afectado siguiendo las prácticas de divulgación responsable (responsible / coordinated disclosure) y colaboramos hasta que la corrección está disponible para todos los usuarios.

A continuación listamos los advisories públicos firmados por nuestro equipo. Cada entrada enlaza a la entrada oficial en el catálogo NVD del NIST para que puedas consultar el detalle técnico y la solución aplicada.

Advisories publicados

CVE-2025-40652
Severidad: Medium
CVSS 5.3

Cross-Site Scripting (XSS) almacenado en CoverManager

Fabricante
CoverManager
Estado
Parcheada

Vulnerabilidad de Cross-Site Scripting (XSS) almacenado en la aplicación de reservas CoverManager. Un atacante remoto sin autenticación podía inyectar JavaScript que se almacenaba en la base de datos del producto y se ejecutaba en el navegador de cualquier usuario que abriese la página afectada.

Impacto: Robo de sesión, ejecución de código JavaScript en el contexto del usuario víctima, suplantación de personal del restaurante y acceso a datos personales de reservas.

Leer advisory completoVer advisory en NVD
CVE-2023-3512
Severidad: High
CVSS 7.5

Relative path traversal en ConacWin CB (Setelsa Security)

Fabricante
Setelsa Security
Estado
Parcheada por el fabricante

Vulnerabilidad de relative path traversal sin autenticación en ConacWin CB, software de gestión de control de accesos físicos de Setelsa Security. Un atacante remoto podía descargar ficheros arbitrarios del servidor enviando rutas relativas a través del parámetro de descarga del producto. Corregida en la versión 3.8.2.3.

Impacto: Divulgación de ficheros del sistema, exposición de configuración con secretos y posible encadenamiento con otras vulnerabilidades para escalar el impacto sobre el sistema de control de accesos.

Leer advisory completoVer advisory en NVD

Política de divulgación responsable

Cuando el equipo de Secra encuentra una vulnerabilidad en un producto o servicio de terceros, seguimos un proceso coordinado que prioriza la protección de los usuarios finales:

  1. 1Contactamos al fabricante por canales oficiales (security.txt, bug bounty, PSIRT o contacto comercial).
  2. 2Entregamos un informe técnico detallado con PoC, impacto, pasos de reproducción y recomendaciones.
  3. 3Concedemos un plazo razonable (típicamente 90 días) para que el fabricante desarrolle y despliegue la corrección.
  4. 4Una vez parcheada, coordinamos la publicación del advisory y, cuando procede, solicitamos el CVE correspondiente a la MITRE o a un CNA autorizado.
  5. 5No divulgamos detalles explotables hasta que los clientes del fabricante dispongan de actualización.

Si eres fabricante y quieres reportarnos un posible hallazgo de nuestro equipo sobre tu producto, escríbenos a contacto@secra.es con asunto «Security advisory».

¿Necesitas una auditoría con este nivel de rigor?

El mismo equipo que publica advisories en NVD audita tus aplicaciones, infraestructura y cloud.

Solicitar evaluación