Control de acceso insuficiente en la gestión de sesiones de Sesame Time Mar, 14/07/2026 - 11:19

        Aviso

Recursos Afectados
          Los siguientes endopoints de la aplicación web Sesame Time están afectados:api/v3/security/login (creación de USID);/api/v3/security/me (exposición de datos según USID);otros endpoints privados como /private/notification/v1/ (aceptan USID).

Descripción
          INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a la aplicación web de Sesame Time, un software de gestión de recursos humanos y control horario. La vulnerabilidad ha sido descubierta por Miguel Jiménez Cámara.A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:CVE-2026-15389: CVSS v4.0: 8.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-639

Identificador
          INCIBE-2026-487

Solución
          La vulnerabilidad ha sido solucionada por el equipo de Sesame Time en la última versión disponible.La actualización incorpora mejoras en el mecanismo de autenticación y refuerza las validaciones de autorización en el servidor para garantizar que cada sesión únicamente pueda acceder a la información asociada al usuario autenticado.

Detalle
          CVE-2026-15389: se ha identificado una vulnerabilidad de control de acceso insuficiente en la gestión de sesiones de la aplicación web de Sesame Time y su API REST v3. El fallo radica en que el sistema utiliza el identificador de sesión (USID) como único mecanismo de validación, sin verificar si dicho identificador pertenece legítimamente al usuario que realiza la petición. Como consecuencia, un atacante que obtenga un USID válido puede suplantar la sesión de una víctima y acceder a su información confidencial, incluyendo correos electrónicos, identificadores de usuario, roles y datos corporativos. Esta vulnerabilidad se ve agravada por una deficiente gestión del ciclo de vida de las sesiones: los nuevos inicios de sesión generan identificadores USID adicionales sin revocar los anteriores, lo que permite la coexistencia de múltiples sesiones activas y amplía la superficie de ataque.

        4 - Alta

  Listado de referencias

          Sesame Time

Etiquetas

                        0day
                                    Actualización
                                    CNA
                                                    Control de acceso
            +
                                                Recursos humanos
                                    Vulnerabilidad
                        -

CVE

                        Identificador CVE
                        Severidad
                        Explotación
                        Fabricante

                  CVE-2026-15389
                  Alta
                  No
                  Sesame

Llegir l'article original