Por aquí explico las diferentes vulnerabilidades que he ido descubriendo y publicando oficialmente tras un proceso de divulgación coordinada con INCIBE.
Encontrar y publicar mis primeros CVEs fue una experiencia muy especial: una mezcla de curiosidad, aprendizaje y ganas de aportar algo real a la comunidad de ciberseguridad.
CVE-2025-41088 fue una vulnerabilidad de tipo Stored Cross-Site Scripting (XSS) que encontré en Xibo CMS v4.1.2.
Este fallo permitía almacenar código malicioso dentro de la plataforma debido a una validación insuficiente de ciertos campos introducidos por el usuario. Descubrirla me ayudó a entender mejor el impacto que puede tener un XSS persistente en una aplicación real.
CVE-2025-41089 fue una vulnerabilidad de tipo Reflected Cross-Site Scripting (XSS) también identificada en Xibo CMS v4.1.2.
En este caso, el problema estaba relacionado con la forma en que la aplicación procesaba y devolvía determinados parámetros sin filtrarlos correctamente. Analizarla y reportarla me permitió aprender mucho sobre validación de entradas, explotación controlada y divulgación responsable.