Plataforma
php
Componente
galette/galette
Corregido en
1.2.1
CVE-2025-58053 describe una vulnerabilidad de elevación de privilegios en Galette, una aplicación web para la gestión de membresías de organizaciones sin fines de lucro. Un atacante puede explotar esta falla para obtener privilegios más altos al actualizar cuentas existentes mediante una solicitud POST forjada. Esta vulnerabilidad afecta a las versiones de Galette anteriores a la 1.2.0, y ha sido resuelta en la versión 1.2.0.
La explotación exitosa de esta vulnerabilidad permite a un atacante obtener acceso no autorizado a funcionalidades y datos que normalmente estarían restringidos a usuarios con privilegios más altos. Esto podría incluir la modificación de información de miembros, la gestión de permisos, o incluso el control total de la aplicación. El impacto potencial es significativo, ya que un atacante podría comprometer la integridad y confidencialidad de los datos de la organización. La facilidad de explotación, al requerir solo una solicitud POST forjada, aumenta el riesgo de ataques automatizados y la probabilidad de que sea explotada por actores maliciosos con diferentes niveles de habilidad técnica.
La vulnerabilidad fue publicada el 19 de diciembre de 2025. No se ha reportado explotación activa en entornos reales hasta el momento. No se ha añadido a la lista KEV de CISA. La disponibilidad de un PoC público podría aumentar el riesgo de explotación en el futuro.
Non-profit organizations utilizing Galette for membership management are at risk. Specifically, deployments with older versions of Galette (≤ 1.2.0) and those lacking robust input validation on account update forms are particularly vulnerable. Shared hosting environments where multiple Galette instances share resources could also experience broader impact if one instance is compromised.
• wordpress / composer / npm:
grep -r 'POST /account/update' /var/www/galette/app/config/routing.php• generic web:
curl -I http://your-galette-instance/account/update | grep HTTP/1.1 200 OKdisclosure
Estado del Exploit
EPSS
0.07% (20% percentil)
CISA SSVC
La mitigación principal para CVE-2025-58053 es actualizar Galette a la versión 1.2.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso más estrictos para limitar el acceso a la funcionalidad de actualización de cuentas. Además, se debe revisar y fortalecer la validación de entrada en la aplicación para prevenir la inyección de datos maliciosos. Monitorear los registros de la aplicación en busca de solicitudes POST sospechosas también puede ayudar a detectar y responder a intentos de explotación.
Actualice Galette a la versión 1.2.0 o superior. Esta versión corrige la vulnerabilidad de escalada de privilegios. La actualización se puede realizar a través del panel de administración de Galette o descargando la nueva versión del sitio web oficial y reemplazando los archivos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-58053 is a vulnerability in Galette versions prior to 1.2.0 that allows an attacker to gain higher privileges by forging a POST request during account updates.
You are affected if you are running Galette version 1.2.0 or earlier. Upgrade to version 1.2.0 to mitigate the risk.
Upgrade Galette to version 1.2.0 or later. Implement stricter input validation on account update forms as an interim measure.
There are currently no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the Galette project's official security advisories and release notes for details: [https://galette.org/](https://galette.org/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.