La empresa 2N ha anunciado la publicación de cinco nuevas vulnerabilidades identificadas en su plataforma 2N Access Commander, marcando la primera vez que estos problemas se registran oficialmente bajo la cuenta CNA de la compañía. La iniciativa forma parte del compromiso de 2N con la transparencia y la mejora continua de la seguridad en sus productos y servicios.
Las vulnerabilidades detectadas incluyen inyección de comandos del sistema operativo a través de la API (CVE-2025-59783), contaminación de registros por caracteres de control no escapados (CVE-2025-59784), validación insuficiente de entradas en la API (CVE-2025-59785), cookies que no se invalidan al cerrar sesión ni al cambiar la contraseña (CVE-2025-59786) y errores internos 5XX del servidor HTTP (CVE-2025-59787). Cada registro CVE proporciona una descripción detallada del problema y referencias a avisos y soluciones correspondientes, permitiendo a los usuarios gestionar de forma eficiente la remediación de estos riesgos.
Identificación y mitigación de riesgos
El proceso de identificación y divulgación de estas vulnerabilidades se ha llevado a cabo de manera coordinada, con la colaboración de equipos de seguridad externos como Amazon Security. Este enfoque de divulgación responsable refuerza la protección de los clientes y socios de 2N, asegurando que las incidencias se gestionen de manera rápida y efectiva.
La publicación de estos cinco CVE bajo la cuenta CNA de 2N representa un avance significativo en la gestión de vulnerabilidades de la empresa, consolidando un modelo de comunicación transparente con sus clientes y destacando la importancia de la cooperación con la comunidad de ciberseguridad. Además, subraya el enfoque proactivo de 2N en la identificación, seguimiento y corrección de problemas de seguridad en sus soluciones.
Además de las referencias publicadas, cada una de estas vulnerabilidades está asociada a versiones específicas de 2N Access Commander y a fallos técnicos concretos que pueden afectar tanto a la integridad como a la disponibilidad del sistema. Por ejemplo, algunas permiten comandos en la API o la persistencia de sesiones tras el cierre de sesión, mientras que otras pueden provocar errores internos del servidor o permitir la inclusión de datos no validados en los registros del sistema, lo que subraya la importancia de aplicar las correcciones en versiones actualizadas del software y seguir las mejores prácticas de gestión de parches en entornos de control de acceso.