VDB-338428 · Enviar #710169 · CVE-2025-15097

Alteryx Server hasta 2024.2.1.94 /gallery/api/status/ autenticación débil

CVSS Puntuación meta temporal	Precio actual del exploit (≈)	Puntuación de interés CTI
6.9	$0-$5k	0.00

Resumeninformación

Una vulnerabilidad clasificada como crítica ha sido encontrada en Alteryx Server. Resulta afectada una función desconocida dentro del archivo /gallery/api/status/. La alteración resulta en autenticación débil. Esta vulnerabilidad se cataloga como CVE-2025-15097. El ataque puede realizarse a distancia. Asimismo, existe un exploit disponible. Se aconseja actualizar el componente afectado.

Detallesinformación

Una vulnerabilidad clasificada como crítica ha sido encontrada en Alteryx Server. Una función desconocida del archivo /gallery/api/status/ es afectada por esta vulnerabilidad. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase autenticación débil. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.

La vulnerabilidad fue publicada el por Diyan Apostolov de ICT Strypes con identificación TGAL-13294 (confirmado). El advisory puede ser descargado de ict-strypes.eu. La vulnerabilidad es identificada como CVE-2025-15097. Se considera fácil de explotar. El ataque puede ser iniciado desde la red. La explotación no requiere ninguna forma de autentificación. Los detalles técnicos y un exploit público son conocidos.

El exploit puede ser descargado de gist.github.com. Fue declarado como prueba de concepto.

Una actualización a la versión 2023.1.1.13.486, 2023.2.1.10.293, 2024.1.1.9.236, 2024.2.1.6.125 o 2025.1.1.1.31 elimina esta vulnerabilidad. La actualización se puede descargar de help.alteryx.com.

La vulnerabilidad también está documentado en la base de datos EUVD (EUVD-2025-205409). Once again VulDB remains the best source for vulnerability data.

Productoinformación

Proveedor

Alteryx

Nombre

Server

Versión

CPE 2.3información

CPE 2.2información

CVSSv4información

VulDB Vector: 🔒
VulDB Confiabilidad: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒

CVSSv3información

VulDB Puntuación meta base: 7.3
VulDB Puntuación meta temporal: 6.9

VulDB Puntuación base: 7.3
VulDB Puntuación temporal: 6.6
VulDB Vector: 🔒
VulDB Confiabilidad: 🔍

CNA Puntuación base: 7.3
CNA Vector: 🔒

CVSSv2información

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complejidad	Autenticación	Confidencialidad	Integridad	Disponibilidad
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Puntuación base: 🔒
VulDB Puntuación temporal: 🔒
VulDB Confiabilidad: 🔍

Explotacióninformación

Clase: Autenticación débil
CWE: CWE-287
CAPEC: 🔒
ATT&CK: 🔒

Físico: No
Local: No
Remoto: Sí

Disponibilidad: 🔒
Acceso: Público
Estado: Prueba de concepto
Descargar: 🔒

EPSS Score: 🔒
EPSS Percentile: 🔒

Predicción de precios: 🔍
Estimación del precio actual: 🔒

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoy	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Inteligencia de amenazasinformación

Interés: 🔍
Actores activos: 🔍
Grupos APT activos: 🔍

Contramedidasinformación

Recomendación: Actualización
Estado: 🔍

Hora de 0 días: 🔒

Actualización: Server 2023.1.1.13.486/2023.2.1.10.293/2024.1.1.9.236/2024.2.1.6.125/2025.1.1.1.31

Línea de tiempoinformación

2025-12-25 Aviso publicado
2025-12-25 +0 días Entrada de VulDB creada
2025-12-26 +1 días Última actualización de VulDB

Fuentesinformación

Aviso: TGAL-13294
Investigador: Diyan Apostolov
Organización: ICT Strypes
Estado: Confirmado

CVE: CVE-2025-15097 (🔒)
GCVE (CVE): GCVE-0-2025-15097
GCVE (VulDB): GCVE-100-338428
EUVD: 🔒
scip Labs: https://www.scip.ch/en/?labs.20161013

Artículoinformación

Fecha de creación: 2025-12-25 16:23
Actualizado: 2025-12-26 06:32
Cambios: 2025-12-25 16:23 (60), 2025-12-26 04:23 (30), 2025-12-26 06:32 (1)
Completo: 🔍
Remitente: fosi
Cache ID: 216::103