Diferencias

Muestra las diferencias entre dos versiones de la página.

--- release_notes_abril_2026 [2026/04/10 20:54] – clopez
+++ release_notes_abril_2026 [2026/04/29 23:08] (actual) – clopez
@@ Línea 5: / Línea 5: @@
 ** Versiones Generadas (Fecha Liberación):**
   * 1.231_4 (13/04/2026)
+  * 1.233_1 (17/04/2026)
+  * 1.233_16 (22/04/2026)
+  * 1.234_5 (30/04/2026)
-**Última Versión Liberada Abril:** : 1.231_4
+**Última Versión Liberada Abril:** : 1.234_5
+----
+===== Nuevas Funcionalidades =====
+==== Separación de permisos para creación de caso y contacto estándar ====
+[1.234.5] Se implementó la validación de formato en el campo de configuración ''White List IP'' dentro de la consola de administración. El campo ahora solo permite el ingreso de direcciones IP válidas en formato IPv4 (''X.X.X.X'', con valores entre 0 y 255 por octeto) e IPv6 (formato hexadecimal separado por dos puntos, incluyendo variantes abreviadas). La validación se realiza tanto en tiempo real durante el ingreso como al momento de guardar, evitando configuraciones incorrectas. Se incorporaron mensajes de error localizados en español, inglés y portugués.
+Para mayor información sobre la configuración del parámetro White List, consulte [[parametrosdeconfiguracion|Parámetros de configuración]].
+----
+=== Validación de formato en parámetro White List ===
+[1.233_1]  Se implementó la separación de los permisos de creación de casos y contactos en permisos más granulares, permitiendo un control más fino sobre las acciones disponibles para cada rol.
+Se crearon dos nuevos permisos en el módulo de navegación:
+^ Permiso ^ Path ^ Comportamiento al activar "Listar" ^
+| Crear caso estándar | ''casos.estandar'' | Habilita el botón de crear caso directo y los botones de creación desde bandejas de casos, Contacto > Casos, Casos > Histórico de casos y Cuentas > Casos |
+| Crear contacto estándar | ''contactos.estandar'' | Habilita el botón de crear contacto directo y los botones de creación desde bandejas de casos y desde el formulario estándar de creación de caso |
+**Nota:** Los nuevos permisos solo tienen efecto si el permiso base ''casos.crear'' o ''contactos.crear'' está habilitado para el rol. Es decir, si el rol no tiene permiso de creación general, los botones no se mostrarán independientemente del estado del permiso estándar.
+Para mayor información sobre Permisos de Roles, hacer click [[gestiondeusuarios#asignar_permisos_a_roles|aquí]].
+----
+===== Mejoras de Seguridad =====
+ ==== Enumeración de usuarios en recuperación de contraseña (CWE-204) ====
+[1.233_16] Se corrigió una vulnerabilidad de seguridad donde el servicio de recuperación de contraseña (''/recovery'') permitía determinar si un usuario existía en el sistema a través de diferencias en las respuestas de error.
+Se realizaron los siguientes ajustes:
+  - El servicio ahora retorna siempre la misma respuesta independientemente de si el usuario existe o no, eliminando la posibilidad de enumeración
+  - Se eliminó la devolución de información completa del usuario en la respuesta del servicio de recuperación de contraseña
+Para mayor información sobre Autogestión de Contraseñas, hacer click [[informaciontecnicaba360#autogestion_de_contrasenas_de_usuarios_y_contactos|aquí]].
+----
+==== Exposición de información en mensajes de error de endpoints de login (CWE-209) ====
+[1.233_16] Se corrigió una vulnerabilidad de seguridad donde los endpoints de la API de login exponían mensajes de error detallados que podían revelar información sensible sobre la arquitectura interna del sistema.
+Se realizó un mapeo completo de todos los endpoints de la API de login y se ajustó el código para retornar mensajes genéricos que no revelen detalles internos. Adicionalmente, se configuró una página de error personalizada en Apache Tomcat para que las solicitudes HTTP malformadas no expongan trazas de pila (stack traces) ni información del servidor.
+Los ajustes aplican a los siguientes endpoints:
+  - ''/auth'', ''/logout'', ''/loginVisualTime'', ''/checkVisualTimeToken''
+  - ''/loginByAzure'', ''/parametros'', ''/loginSSO'', ''/recovery''
+  - ''/getAuthMenu'', ''/loginES'', ''/loginWithToken'', ''/validateToken''
+  - ''/loginTokenExternal'', ''/theme'', ''/parametrosKeycloak''
+  - ''/loginByKeycloak'', ''/login_oauth'', ''/ba360''
+Para mayor información sobre Seguridad, hacer click [[informaciontecnicaba360#seguridad|aquí]].
+----
+==== Consumo no controlado de recursos en recuperación de contraseña (CWE-400) ====
+[1.233_16] Se corrigió una vulnerabilidad de seguridad donde la función de recuperación de contraseña no contaba con protección contra consumo excesivo de recursos, permitiendo potenciales ataques de denegación de servicio.
+Se implementó un mecanismo de Rate Limiting dedicado mediante un nuevo filtro que actúa sobre toda la API de login. El mecanismo implementado:
+  - Bloquea el acceso tras 5 intentos fallidos consecutivos
+  - Desbloquea automáticamente después de 300 segundos (5 minutos)
+  - Aplica a todos los paths de la API de login, incluyendo ''/recovery''
+Para mayor información sobre Autogestión de Contraseñas, hacer click [[informaciontecnicaba360#autogestion_de_contrasenas_de_usuarios_y_contactos|aquí]].
+----
+==== Vulnerabilidad en URL de sistemas externos (CWE-200) ====
+[1.233_16] Se corrigió una vulnerabilidad de seguridad donde las URLs de integración con sistemas externos contenían credenciales de usuario codificadas en base64 como parte de la URL. Dado que la codificación en base64 es una transformación reversible, las credenciales podían ser extraídas de forma trivial.
+Se rediseñó el mecanismo de autenticación en las URLs de integración con sistemas externos para no exponer credenciales de usuario en la URL, reemplazando el esquema anterior por un mecanismo seguro que no revela información sensible (tokens opacos con encriptación AES-GCM)
+Para mayor información sobre integración con sistemas externos, hacer click [[configuracionsistemasexternosurl|aquí]].
+----
+==== Cross-site Scripting persistente en notas de caso ====
+[1.233_16]  Se corrigió una vulnerabilidad crítica de seguridad donde la API utilizada para añadir notas en casos permitía la inyección de código JavaScript malicioso (Cross-site Scripting persistente), posibilitando la captura de tokens de sesión de otros usuarios.
+Se implementó la sanitización completa de caracteres especiales de HTML potencialmente maliciosos en las notas de caso
+Para mayor información sobre Seguridad, hacer click [[informaciontecnicaba360#seguridad|aquí]].
+----
+==== Token de sesión no se invalida al cerrar sesión ====
+[1.233_16] Se corrigió una vulnerabilidad de seguridad donde el token de sesión permanecía vigente y utilizable incluso después de que el usuario ejecutaba el cierre de sesión (logout). Esto incrementaba la posibilidad de que un atacante que obtuviera el token pudiera suplantar la identidad del usuario.
+Con esta corrección, el token de sesión se invalida correctamente al momento de ejecutar el cierre de sesión, impidiendo su reutilización posterior.
+Para mayor información sobre Seguridad, hacer click [[informaciontecnicaba360#seguridad|aquí]].
+----
+==== Exposición de credenciales en URLs de integración con sistemas de telefonía (CWE-200) ====
+[1.233_16] Se corrigió una vulnerabilidad de seguridad donde el mecanismo de integración con sistemas de telefonía externos utilizaba URLs que contenían credenciales de usuario en texto plano, codificadas únicamente en base64. La contraseña real del usuario (no un token derivado) era parte de la URL, lo que permitía su extracción trivial.
+Se rediseñó el mecanismo de integración para reemplazar la exposición de credenciales por un esquema de autenticación seguro que no incluye información sensible en las URLs (tokens opacos con encriptación AES-GCM).
+Para mayor información sobre integración con sistemas externos, hacer click [[configuracionsistemasexternosurl|aquí]].
+----
+==== Exposición de información sensible en APIs (CWE-200) ====
+[1.233_16] Se corrigieron dos casos de exposición de información sensible:
+  - **API deprecada v10 activa**: El endpoint ''/ba360/apir/v10/usuario/get'' (versión deprecada que no fue dada de baja) devolvía hashes de contraseña (MD5) de los usuarios del sistema, accesible para cualquier usuario autenticado independientemente de su rol.
+  - **API key de terceros expuesta**: El endpoint ''/ba360/apir/v11/sistemasexternos/get'' devolvía URLs completas de integraciones externas incluyendo API keys de terceros embebidas como parámetros.
+Con esta corrección, se realizaron los siguientes ajustes:
+  - Se dieron de baja los endpoints bajo la versión deprecada v10 de la API
+  - Se protegieron las API keys de terceros para que no sean visibles desde el cliente
+Para mayor información sobre Seguridad, hacer click [[informaciontecnicaba360#seguridad|aquí]].
+----
+==== Exposición de información en mensajes de error de endpoints de login (CWE-209) ====
+[1.233_1]  Se corrigió una vulnerabilidad de seguridad identificada durante pruebas de penetración donde los endpoints de la API de login exponían mensajes de error detallados que podían revelar información sensible sobre la arquitectura interna del sistema.
+Se realizó un mapeo completo de todos los endpoints de la API de login:
+  - ''/auth'', ''/logout'', ''/loginVisualTime'', ''/checkVisualTimeToken''
+  - ''/loginByAzure'', ''/parametros'', ''/loginSSO'', ''/recovery''
+  - ''/getAuthMenu'', ''/loginES'', ''/loginWithToken'', ''/validateToken''
+  - ''/loginTokenExternal'', ''/theme'', ''/parametrosKeycloak''
+  - ''/loginByKeycloak'', ''/login_oauth'', ''/ba360''
+Se identificó que el endpoint ''/auth/keycloak'' (función ''loginByKeycloak'') devolvía mensajes de error directos en la respuesta. Se ajustó el código para retornar mensajes genéricos que no revelen detalles internos. Adicionalmente, se revisó la configuración de Tomcat para no mostrar páginas de error con información del servidor.
+Para mayor información sobre Seguridad, hacer click [[informaciontecnicaba360#seguridad|aquí]].
+----
+==== Consumo no controlado de recursos en recuperación de contraseña (CWE-400) ====
+[1.233_1]  Se corrigió una vulnerabilidad de seguridad identificada durante pruebas de penetración donde la función de recuperación de contraseña no contaba con protección contra consumo excesivo de recursos, permitiendo potenciales ataques de denegación de servicio.
+Se implementó un mecanismo de Rate Limiting dedicado mediante un nuevo filtro ''RateLimitFilter.java'', extrayendo la lógica existente de la clase ''LoginAPI'' a un filtro independiente registrado en ''web.xml''. De esta forma, el filtro actúa exclusivamente sobre toda la API de login y no solo sobre el servicio ''/auth''.
+El mecanismo implementado:
+  - Bloquea el acceso tras 5 intentos fallidos consecutivos
+  - Desbloquea automáticamente después de 300 segundos (5 minutos)
+  - Aplica a todos los paths de la API de login, incluyendo ''/recovery''
+ Para mayor información sobre Autogestión de Contraseñas, hacer click [[informaciontecnicaba360#autogestion_de_contrasenas_de_usuarios_y_contactos|aquí]].
+----
+==== Enumeración de usuarios en recuperación de contraseña (CWE-204) ====
+[1.233_1]  Se corrigió una vulnerabilidad de seguridad identificada durante pruebas de penetración donde el servicio de recuperación de contraseña (''/recovery'') permitía determinar si un usuario existía en el sistema a través de diferencias en las respuestas de error.
+Se realizaron los siguientes ajustes en el código de ''LoginAPI'':
+  - El servicio ahora retorna siempre la misma respuesta independientemente de si el usuario existe o no, eliminando la posibilidad de enumeración
+  - Se eliminó la devolución de información completa del usuario en la respuesta del servicio de recuperación de contraseña
+Para mayor información sobre Autogestión de Contraseñas, hacer click [[informaciontecnicaba360#autogestion_de_contrasenas_de_usuarios_y_contactos|aquí]].
+----
 ===== Defectos corregidos =====
+=== Corrección en carga de archivos en casos reabiertos desde portal ===
+[1.234.5] Se corrige un error en el cual un caso cerrado y posteriormente reabierto desde la consola no permitía cargar archivos adjuntos en el portal de clientes. El problema se originaba porque el indicador de caso finalizado no se restablecía correctamente al reabrir el caso, provocando que el portal mantuviera las restricciones de un caso cerrado a pesar de que el estado ya había cambiado.
+Para mayor información sobre la gestión de casos en el portal de clientes, consulte [[portales|Portal de clientes de Be Aware 360]].
+----
+=== Corrección en indicador visual del stepper al mover de paso ===
+[1.234.5] Se corrige un error en el cual el indicador visual del stepper de pasos no se pintaba de color naranja al seleccionar un paso al cual se deseaba mover un caso. El comportamiento esperado es que al seleccionar un paso destino, el indicador visual se resalte en naranja antes de confirmar la acción.
+Para mayor información sobre el flujo de pasos en casos, consulte [[gestiondecasos|Gestión de casos]].
+----
+=== Corrección en la visualización de la pestaña Datos dentro de un caso ===
+[1.234.5] Se corrige un error intermitente en el cual la pestaña Datos dentro del detalle de un caso se mostraba visible pero no respondía a la interacción del usuario, requiriendo un refresco completo de la página para poder acceder a su contenido. El problema se originaba por una condición de carga asincrónica en los datos del caso.
+Para mayor información sobre la pestaña Datos en el detalle de casos, consulte [[gestiondecasos|Gestión de casos]].
+----
+=== Corrección en campos personalizados tipo lista en sistemas externos ===
+[1.234.5] Se corrige un error en el cual los campos personalizados de tipo lista no mostraban las opciones disponibles cuando el caso era visualizado a través de la integración con sistemas externos. Las listas desplegables aparecían vacías, impidiendo la selección de valores en el formulario del caso.
+Para mayor información sobre la configuración de campos personalizados y sistemas externos, consulte [[configuracionsistemasexternosurl|Configuración de sistemas externos]].
+----
+=== Corrección en asignación de estado al reabrir caso desde portal ===
+[1.234.5] Se corrige un error en el cual un caso cerrado en la consola y reabierto desde el portal de clientes quedaba con un estado nulo, impidiendo su gestión posterior. El sistema ahora recupera el estado previo al cierre a partir del historial del caso. Si el historial no contiene la información suficiente, se asigna el estado inicial por defecto. Adicionalmente, se incorporó una validación que impide la reapertura si no es posible determinar un estado válido para el caso.
+Para mayor información sobre la reapertura de casos desde el portal, consulte [[portales|Portal de clientes de Be Aware 360]].
+----
+==== Lista de chequeo permite seleccionar procesos inactivos ====
+[1.233_1] Se corrigió un defecto en el módulo de **Lista de Chequeo** donde, al crear o editar una lista de chequeo de tipo Caso, el selector de workflow (proceso) permitía seleccionar procesos inactivos. Solo debería permitir la selección de procesos activos.
+El problema se originaba en dos puntos:
+  - **Backend**: El endpoint ''GET /v11/checklist/workflow/get'' retornaba todos los workflows sin aplicar filtro por estado activo, ya que realizaba una consulta sin filtros.
+  - **Frontend**: El componente ''<el-cascader>'' no filtraba los procesos inactivos del listado recibido.
+Con esta corrección, se ajustó tanto el endpoint del backend para filtrar únicamente workflows activos como el frontend para aplicar un filtro adicional que excluya procesos inactivos del selector.
+Para mayor información sobre Listas de Chequeo, hacer click [[configuracionlistachequeo|aquí]].
+----
+==== Corrección de error en pantalla "Error Internal Server" ====
+[1.233_16] Se corrigió un defecto que provocaba la visualización de una pantalla de error genérico "Error Internal Server" durante la operación en la consola de Be Aware 360. Con esta corrección, el sistema gestiona adecuadamente las solicitudes que anteriormente generaban este error, garantizando la continuidad de la operación del usuario.
+Para obtener más información sobre información técnica de Be Aware 360, haga clic [[informaciontecnicaba360|aquí]].
+----
+==== Corrección en la visualización de correos del contacto y casillas en pestaña Notas ====
+[1.233_16] Se corrigió un defecto en el cual no se cargaban correctamente los correos electrónicos del contacto ni las casillas de verificación en la pestaña **Notas** dentro del detalle de un caso. Con esta corrección, al acceder a la pestaña Notas, el sistema recupera y muestra correctamente los correos asociados al contacto y las casillas de selección correspondientes.
+Para obtener más información sobre gestión de casos, haga clic [[casos|aquí]].
+----
+==== Acciones Next, Back y salto manual no registran SLO en v12 ====
+[1.233_1] Se corrigió un defecto en la versión 12 del motor de workflow donde las acciones de avance (Next), retroceso (Back) y salto manual entre pasos no registraban correctamente los indicadores de SLO (Service Level Objective). Esto provocaba que los tiempos de permanencia en cada paso no se contabilizaran adecuadamente para el cálculo de cumplimiento de niveles de servicio.
+Para mayor información sobre Configuración de SLO, hacer click [[configuracionparacasos#configuracion_de_slo|aquí]].
+----
 ==== Estado de usuario no cambia a Desconectado tras cierre de sesión no explícito ====
 [1.231_4] Se corrigió un defecto en el cual el estado del usuario permanecía como "Disponible" en la base de datos cuando la sesión finalizaba de forma no intencional, ya sea por expiración del token, invalidación de credenciales o finalización forzada de sesión desde el backend.
@@ Línea 17: / Línea 276: @@
 Para mayor información sobre Conceptos hacer clic [[gestiondeusuarios#conceptos|aquí]]
+----
 ==== Permisos de Chequeo (Checklist) sin funcionalidad asociada en casos ====
@@ Línea 31: / Línea 292: @@
 Para obtener más información sobre gestión de casos, haga clic [[casos#trabajando_con_casos|aquí]].
+----
 ==== Conflicto entre permisos del rol y parametrización de edición de caso cerrado ====
@@ Línea 44: / Línea 307: @@
 Para obtener más información sobre gestión de casos, haga clic [[casos#trabajando_con_casos|aquí]].
+----
 ==== Permisos de Vistas 360 no se respetan en Sistemas Externos ====
@@ Línea 51: / Línea 316: @@
 Para obtener más información sobre integración con sistemas externos, haga clic [[integraciones#integracion_por_url_sistemas_externos|aquí]].
+----
 ==== Nota de archivo privado se registra incorrectamente como público ====
@@ Línea 58: / Línea 325: @@
 Para obtener más información sobre adjuntar archivos a un caso, haga clic [[casos#agregar_archivos_adjuntos_a_un_caso|aquí]].
+----
 ==== Corrección en la creación de usuarios ====
@@ Línea 63: / Línea 332: @@
 Para obtener más información sobre gestión de usuarios, haga clic [[gestiondeusuarios#gestion_de_usuarios|aquí]].
+----
 ===== Mejoras de Rendimiento =====
 ==== Optimización de tiempos de carga en el reload de caso ====
 [1.231_4]  Se realizó una optimización en los tiempos de carga al recargar un caso, especialmente durante la ejecución de scripts HTML. Anteriormente, la recarga del caso tras la ejecución de un script invocaba la recarga de todos los catálogos globales (roles, grupos, acuerdos, prioridades, sistemas externos, archivos custom), lo cual era innecesario ya que estos datos no cambian como resultado de la ejecución de un script.
-.===== Mejoras Técnicas =====
+----
+===== Mejoras Técnicas =====
 ==== Mensaje de validación para carga de archivos mayores a 12.5 MB ====
 [1.231_4]  Se implementó una validación en el proceso de carga de archivos adjuntos a casos para que, cuando se intente subir un archivo que exceda el límite permitido de 12.5 MB, el sistema retorne un mensaje claro indicando que el archivo no pudo ser adjuntado por superar el tamaño máximo.
@@ Línea 74: / Línea 347: @@
 Anteriormente, al intentar adjuntar un archivo mayor al límite permitido a través de la API, el sistema retornaba un código HTTP 200 con estado "NO OK" sin proporcionar información sobre la causa del rechazo.
-**Nota:** Para archivos mayores a 200 MB, el servidor puede descartar la solicitud antes de que la validación se ejecute. Se recomienda implementar validación de tamaño en el cliente previo al envío.
+**Nota:** Para archivos mayores a 200 MB, el servidor puede descartar la solicitud antes de que la validación se ejecute. Se recomienda implementar validación de tamaño en el cliente previo al envío
-.===== Experience Builder =====
+----
+===== Experience Builder =====
 ==== Mejoras en Experience Builder ====
 [1.225_0]
-- Componente Icono: se dispone de un catalogo de iconos para utilizar en las pantallas asociados al nuevo componente "Icono" en la sección de predefinidos.
+  *  Componente Icono: se dispone de un catalogo de iconos para utilizar en las pantallas asociados al nuevo componente "Icono" en la sección de predefinidos.
-- Paleta de Colores: En el contexto del módulo de proyectos, la configuración del proyecto presenta un apartado de estilos donde por el momento se pueden guardar colores asociados al proyecto, estos colores que se carguen aquí van a aparecer para ser seleccionables en las configuraciones de color de los componentes.
+  * Paleta de Colores: En el contexto del módulo de proyectos, la configuración del proyecto presenta un apartado de estilos donde por el momento se pueden guardar colores asociados al proyecto, estos colores que se carguen aquí van a aparecer para ser seleccionables en las configuraciones de color de los componentes.
+----
 [1.223_0]
-- Integración de workflows en el módulo de proyectos
+  *  Integración de workflows en el módulo de proyectos
-- Backup en el historial de versiones, de hasta tres pantallas, de EB con posibilidad de restaurarlas.
+  *  Backup en el historial de versiones, de hasta tres pantallas, de EB con posibilidad de restaurarlas.
-- Se soluciona: Cuando el nombre del script tiene guiones, no funciona la sintaxis que actualiza otro componente al llamarlo en un evento ej: nombre-script(datakey)
+  *  Se soluciona: Cuando el nombre del script tiene guiones, no funciona la sintaxis que actualiza otro componente al llamarlo en un evento ej: nombre-script(datakey). Recibir siempre en el payload de scripts nombre de pantalla, para hacer diferenciaciones si se reutiliza script
-Recibir siempre en el payload de scripts nombre de pantalla, para hacer diferenciaciones si se reutiliza script
+  *  Se reciben datos de elementos adjuntos en el payload del evento onclick
-- Se reciben datos de elementos adjuntos en el payload del evento onclick
+  *  Se soluciona la configuración de campo requerido para componente datetime
-- Se soluciona la configuración de campo requerido para componente datetime
 Para obtener más información sobre Experience Builder, haga clic [[beaware_hiperpersonalizacion|aquí]].