Research & Disclosure

Investigación en Seguridad

Parte de nuestro trabajo como firma de ciberseguridad ofensiva es devolver a la comunidad. Investigamos vulnerabilidades en productos reales, las reportamos de forma responsable y colaboramos con los fabricantes hasta su corrección.

Nuestro compromiso con la comunidad

En Secra no sólo encontramos vulnerabilidades en entornos de cliente: también dedicamos tiempo a investigar productos y servicios de uso extendido. Cuando localizamos un fallo de seguridad, lo comunicamos al fabricante afectado siguiendo las prácticas de divulgación responsable (responsible / coordinated disclosure) y colaboramos hasta que la corrección está disponible para todos los usuarios.

A continuación listamos los advisories públicos firmados por nuestro equipo. Cada entrada enlaza a la entrada oficial en el catálogo NVD del NIST para que puedas consultar el detalle técnico y la solución aplicada.

Advisories publicados

CVE-2025-40652
Severidad: Medium
CVSS 5.3

Cross-Site Scripting (XSS) en CoverManager

Fabricante
CoverManager
Estado
Parcheada

Vulnerabilidad de Cross-Site Scripting (XSS) en la aplicación CoverManager que permite a un atacante remoto inyectar JavaScript arbitrario a través de un parámetro HTTP no saneado. La explotación permitía comprometer la sesión de usuarios autenticados en la plataforma de reservas.

Impacto: Robo de sesión, ejecución de código JavaScript en el contexto del usuario víctima, suplantación y acceso a datos de reservas.

Ver advisory en NVD
CVE-2023-3512
Severidad: High
CVSS 7.5

Relative path traversal en ConacWin CB (Setelsa Security)

Fabricante
Setelsa Security
Estado
Parcheada por el fabricante

Vulnerabilidad de relative path traversal en ConacWin CB de Setelsa Security. Un atacante remoto podía acceder a ficheros fuera del directorio previsto mediante secuencias ../ en la ruta, exponiendo información sensible del sistema de control de accesos.

Impacto: Divulgación de ficheros del sistema, exposición de datos de configuración y posible encadenamiento con otras vulnerabilidades para escalar el impacto.

Ver advisory en NVD

Política de divulgación responsable

Cuando el equipo de Secra encuentra una vulnerabilidad en un producto o servicio de terceros, seguimos un proceso coordinado que prioriza la protección de los usuarios finales:

  • 1.Contactamos al fabricante por canales oficiales (security.txt, bug bounty, PSIRT o contacto comercial).
  • 2.Entregamos un informe técnico detallado con PoC, impacto, pasos de reproducción y recomendaciones.
  • 3.Concedemos un plazo razonable (típicamente 90 días) para que el fabricante desarrolle y despliegue la corrección.
  • 4.Una vez parcheada, coordinamos la publicación del advisory y, cuando procede, solicitamos el CVE correspondiente a la MITRE o a un CNA autorizado.
  • 5.No divulgamos detalles explotables hasta que los clientes del fabricante dispongan de actualización.

Si eres fabricante y quieres reportarnos un posible hallazgo de nuestro equipo sobre tu producto, escríbenos a contacto@secra.es con asunto «Security advisory».

¿Necesitas una auditoría con este nivel de rigor?

El mismo equipo que publica advisories en NVD audita tus aplicaciones, infraestructura y cloud. Si quieres conocer los riesgos reales de tu organización, empecemos por una evaluación inicial gratuita.

Solicitar evaluación

👋¡Hola! ¿Tienes alguna duda? Escríbenos, respondemos en minutos.

Abrir WhatsApp →