brandonperezlara/CVE-2025-67223

Releases0

Esta falla permite a un atacante remoto y sin ningún tipo de autenticación acceder directamente a los tickets de soporte, casos internos y a todos sus archivos adjuntos confidenciales. Al iterar y descargar de forma automatizada los registros de Aranda, dejando la información sensible expuesta a una exfiltración masiva.

CVE History

CVE	Published	CVSS v3	CVSS v2
CVE-2025-67223 ↗	Apr 28, 2026Tuesday, 28 April 2026, 15:16	7.5 HIGH	—
The Aranda File Server (AFS) component in Aranda Software Aranda Service Desk before 8.3.12 stores daily activity logs with predictable names in a publicly accessible directory, which allows unauthenticated remote attackers to obtain direct virtual paths of uploaded files and bypass access controls to download sensitive documents containing PII.