Varias fallas de seguridad en la plataforma web de Wakyma

⟫ 16/03/2026 ⟫ INCIBE

Fuente: INCIBE

El panorama de la ciberseguridad sigue siendo un campo en constante evolución, y las vulnerabilidades en aplicaciones web continúan representando un desafío significativo para organizaciones de todos los sectores. Recientemente, el Instituto Nacional de Ciberseguridad (INCIBE) ha coordinado la publicación de cinco vulnerabilidades críticas que afectan a Wakyma, un software de gestión y marketing diseñado específicamente para centros veterinarios. La importancia de este asunto radica no solo en la naturaleza del software en cuestión, que es utilizado por clínicas veterinarias para gestionar datos sensibles de clientes y mascotas, sino también en las implicaciones que estas vulnerabilidades pueden tener en la privacidad y seguridad de la información que manejan estas instituciones. De hecho, más allá del ámbito veterinario, el incidente podría ser un reflejo de tendencias más amplias en el sector de la ciberseguridad, donde la protección de datos se convierte en una prioridad crítica.

Las vulnerabilidades, todas descubiertas por el investigador Bruno López Trigo (n0d0n), se han clasificado según su severidad y han recibido códigos de identificación específicos. De las cinco vulnerabilidades publicadas, tres han sido clasificadas con una severidad alta y dos con una severidad media. El sistema de puntuación utilizado para evaluar estas vulnerabilidades es el CVSS v4.0, que proporciona una evaluación detallada del riesgo que representan. A continuación, se presentan los detalles técnicos de cada vulnerabilidad identificada, junto con su respectivo código CVE y las características técnicas que las definen.

La primera vulnerabilidad, identificada como CVE-2026-3020, cuenta con una puntuación CVSS de 8.6. Se trata de una vulnerabilidad de omisión de autorización mediante clave controlada por el usuario (IDOR), que permite a un atacante modificar datos de cuentas de usuarios legítimos. Por ejemplo, esto podría facilitar la modificación de direcciones de correo electrónico y la solicitud de nuevas contraseñas, lo que potencialmente permitiría al atacante tomar el control total de la cuenta de otros usuarios.

Las siguientes dos vulnerabilidades, CVE-2026-3021 y CVE-2026-3022, tienen una puntuación de 7.1 y están relacionadas con inyecciones SQL no relacionales (NoSQLi). La primera afecta al endpoint 'vets.wakyma.com/centro/equipo/empleado', permitiendo a un usuario autenticado alterar una solicitud GET para inyectar comandos NoSQL. Esto podría resultar en la enumeración de datos sensibles de empleados. La segunda, que afecta al endpoint 'vets.wakyma.com/hospitalizacion/generar-resumen-hospitalizacion', permite a un usuario autenticado realizar una acción similar, pero enfocada en obtener informes de clientes.

La vulnerabilidad CVE-2026-3023 presenta un escenario similar, también relacionada con inyecciones SQL no relacionales en el endpoint 'vets.wakyma.com/mascotas/imprimir-etiquetas'. En este caso, un usuario autenticado podría alterar una solicitud POST para enumerar tanto mascotas como los nombres de sus propietarios, lo que podría tener serias repercusiones en la privacidad de los datos.

Por último, CVE-2026-3024, clasificada con una severidad media de 4.8, es una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que se encuentra en el endpoint 'vets.wakyma.com/configuracion/agenda/modelo-formulario-evento'. En este caso, un usuario con permiso para crear cuentas personalizadas podría potencialmente crear una encuesta maliciosa, que podría perjudicar a todo el equipo veterinario. Además, un usuario con privilegios bajos podría aprovechar esta vulnerabilidad para acceder a datos no autorizados y realizar acciones con privilegios elevados.

Las implicaciones de estas vulnerabilidades son considerables. En primer lugar, existe un riesgo tangible para la privacidad de los datos de los clientes y sus mascotas, lo que podría generar desconfianza en la plataforma Wakyma y, en consecuencia, en los centros veterinarios que la utilizan. Además, la capacidad de un atacante para tomar el control de cuentas de usuario legítimas podría resultar en una serie de ataques adicionales, amplificando el daño potencial.

El hecho de que Wakyma haya abordado estas vulnerabilidades en su integración continua desde el 19 de febrero de 2026 es un paso positivo, aunque no exento de preocupaciones. La rápida respuesta ante la identificación de vulnerabilidades es fundamental para mitigar riesgos; sin embargo, es crucial que las organizaciones mantengan actualizados sus sistemas y realicen auditorías periódicas para detectar y corregir posibles fallos de seguridad antes de que sean explotados por atacantes.

Históricamente, el sector de la ciberseguridad ha sido testigo de vulnerabilidades similares en aplicaciones web, destacando la importancia de la seguridad en el desarrollo de software. Los ataques de inyección SQL y XSS han sido recurrentes en la última década, y a pesar de que las mejores prácticas de seguridad han evolucionado, muchas aplicaciones siguen siendo vulnerables debido a errores de codificación o configuraciones inseguras. Este caso de Wakyma es un recordatorio de que incluso las aplicaciones que parecen estar diseñadas para un nicho específico no son inmunes a los ataques.

En conclusión, la publicación de estas vulnerabilidades en Wakyma subraya la necesidad crítica de implementar medidas de seguridad robustas en el desarrollo de software, así como la importancia de educar a los usuarios sobre las posibles amenazas. Las organizaciones deben adoptar un enfoque proactivo en la gestión de la seguridad, implementando prácticas de codificación seguras y realizando auditorías regulares. Asimismo, los usuarios deben estar informados sobre cómo proteger sus datos y cuentas en línea, especialmente en plataformas que manejan información sensible. La ciberseguridad es responsabilidad de todos, y es vital que tanto desarrolladores como usuarios colaboren para crear un entorno digital más seguro.

◢ VULNERABILIDADES ◣

Multiple vulnerabilities in the Wakyma web application

⟫ 16/03/2026 ⟫ INCIBE

Source: INCIBE

INCIBE has coordinated the publication of 5 vulnerabilities, 3 of high severity and 2 of medium severity, affecting the Wakyma web application, management and marketing software for veterinary centers. The vulnerabilities have been discovered by Bruno López Trigo (n0d0n).

The following codes, CVSS v4.0 base scores, CVSS vectors, and CWE vulnerability types have been assigned to these vulnerabilities:

CVE-2026-3020: CVSS v4.0: 8.6 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-639

CVE-2026-3021: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-943

CVE-2026-3022: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-943

CVE-2026-3023: CVSS v4.0: 5.3 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-943

CVE-2026-3024: CVSS v4.0: 4.8 | CVSS AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79

Wakyma has resolved the vulnerabilities in the continuous integration deployed in production since February 19, 2026.

CVE-2026-3020: Authorization omission vulnerability via user-controlled key (IDOR) that allows an attacker to modify the data of a legitimate user account, such as changing the victim's email address, validating the new email address, and requesting a new password. This could allow an attacker to take full control of other users' legitimate accounts.

CVE-2026-3021: Non-relational SQL injection vulnerability (NoSQLi) in the Wakyma web application, specifically at the endpoint 'vets.wakyma.com/centro/equipo/empleado'. This vulnerability could allow an authenticated user to alter a GET request to the affected endpoint in order to inject special NoSQL commands. This would lead to the enumeration of sensitive employee data.

CVE-2026-3022: Non-relational SQL injection vulnerability (NoSQLi) in the Wakyma web application, specifically at the endpoint 'vets.wakyma.com/hospitalizacion/generar-resumen-hospitalizacion'. This vulnerability could allow an authenticated user to alter a POST request to the affected endpoint in order to inject special NoSQL commands, resulting in the attacker being able to obtain customer reports.

CVE-2026-3023: Non-relational SQL injection vulnerability (NoSQLi) in the Wakyma web application, specifically at the endpoint 'vets.wakyma.com/mascotas/imprimir-etiquetas'. This vulnerability could allow an authenticated user to alter a POST request to the affected endpoint in order to inject NoSQL commands, enabling them to enumerate both pets and the names of owners.

CVE-2026-3024: Stored Cross-Site Scripting (XSS) vulnerability in the Wakyma web application, specifically at the endpoint 'vets.wakyma.com/configuracion/agenda/modelo-formulario-evento'. A user with permission to create custom accounts could exploit this vulnerability simply by creating a malicious survey that harms the entire veterinary team. At the same time, a low-privileged user could exploit this vulnerability to access unauthorized data and carry out actions with elevated privileges.

← VOLVER A CIBERSEGURIDAD