Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
release_notes_abril_2026 [2026/04/23 15:49] clopezrelease_notes_abril_2026 [2026/04/29 23:08] (actual) clopez
Línea 6: Línea 6:
   * 1.231_4 (13/04/2026)   * 1.231_4 (13/04/2026)
   * 1.233_1 (17/04/2026)   * 1.233_1 (17/04/2026)
 +  * 1.233_16 (22/04/2026)
 +  * 1.234_5 (30/04/2026)
  
-**Última Versión Liberada Abril:** : 1.233_1+**Última Versión Liberada Abril:** : 1.234_5
  
 ---- ----
Línea 13: Línea 15:
 ===== Nuevas Funcionalidades ===== ===== Nuevas Funcionalidades =====
 ==== Separación de permisos para creación de caso y contacto estándar ==== ==== Separación de permisos para creación de caso y contacto estándar ====
- + 
 +[1.234.5] Se implementó la validación de formato en el campo de configuración ''White List IP'' dentro de la consola de administración. El campo ahora solo permite el ingreso de direcciones IP válidas en formato IPv4 (''X.X.X.X'', con valores entre 0 y 255 por octeto) e IPv6 (formato hexadecimal separado por dos puntos, incluyendo variantes abreviadas). La validación se realiza tanto en tiempo real durante el ingreso como al momento de guardar, evitando configuraciones incorrectas. Se incorporaron mensajes de error localizados en español, inglés y portugués. 
 + 
 +Para mayor información sobre la configuración del parámetro White List, consulte [[parametrosdeconfiguracion|Parámetros de configuración]]. 
 + 
 +---- 
 + 
 +=== Validación de formato en parámetro White List === 
 [1.233_1]  Se implementó la separación de los permisos de creación de casos y contactos en permisos más granulares, permitiendo un control más fino sobre las acciones disponibles para cada rol. [1.233_1]  Se implementó la separación de los permisos de creación de casos y contactos en permisos más granulares, permitiendo un control más fino sobre las acciones disponibles para cada rol.
    
Línea 29: Línea 39:
  
 ===== Mejoras de Seguridad ===== ===== Mejoras de Seguridad =====
 + ==== Enumeración de usuarios en recuperación de contraseña (CWE-204) ====
    
 +[1.233_16] Se corrigió una vulnerabilidad de seguridad donde el servicio de recuperación de contraseña (''/recovery'') permitía determinar si un usuario existía en el sistema a través de diferencias en las respuestas de error.
 + 
 +Se realizaron los siguientes ajustes:
 + 
 +  - El servicio ahora retorna siempre la misma respuesta independientemente de si el usuario existe o no, eliminando la posibilidad de enumeración
 +  - Se eliminó la devolución de información completa del usuario en la respuesta del servicio de recuperación de contraseña
 + 
 +Para mayor información sobre Autogestión de Contraseñas, hacer click [[informaciontecnicaba360#autogestion_de_contrasenas_de_usuarios_y_contactos|aquí]].
 +
 +----
 +
 +==== Exposición de información en mensajes de error de endpoints de login (CWE-209) ====
 + 
 +[1.233_16] Se corrigió una vulnerabilidad de seguridad donde los endpoints de la API de login exponían mensajes de error detallados que podían revelar información sensible sobre la arquitectura interna del sistema.
 + 
 +Se realizó un mapeo completo de todos los endpoints de la API de login y se ajustó el código para retornar mensajes genéricos que no revelen detalles internos. Adicionalmente, se configuró una página de error personalizada en Apache Tomcat para que las solicitudes HTTP malformadas no expongan trazas de pila (stack traces) ni información del servidor.
 + 
 +Los ajustes aplican a los siguientes endpoints:
 + 
 +  - ''/auth'', ''/logout'', ''/loginVisualTime'', ''/checkVisualTimeToken''
 +  - ''/loginByAzure'', ''/parametros'', ''/loginSSO'', ''/recovery''
 +  - ''/getAuthMenu'', ''/loginES'', ''/loginWithToken'', ''/validateToken''
 +  - ''/loginTokenExternal'', ''/theme'', ''/parametrosKeycloak''
 +  - ''/loginByKeycloak'', ''/login_oauth'', ''/ba360''
 + 
 +Para mayor información sobre Seguridad, hacer click [[informaciontecnicaba360#seguridad|aquí]].
 +
 +----
 +
 +==== Consumo no controlado de recursos en recuperación de contraseña (CWE-400) ====
 + 
 +[1.233_16] Se corrigió una vulnerabilidad de seguridad donde la función de recuperación de contraseña no contaba con protección contra consumo excesivo de recursos, permitiendo potenciales ataques de denegación de servicio.
 + 
 +Se implementó un mecanismo de Rate Limiting dedicado mediante un nuevo filtro que actúa sobre toda la API de login. El mecanismo implementado:
 + 
 +  - Bloquea el acceso tras 5 intentos fallidos consecutivos
 +  - Desbloquea automáticamente después de 300 segundos (5 minutos)
 +  - Aplica a todos los paths de la API de login, incluyendo ''/recovery''
 + 
 +Para mayor información sobre Autogestión de Contraseñas, hacer click [[informaciontecnicaba360#autogestion_de_contrasenas_de_usuarios_y_contactos|aquí]].
 +
 +----
 +
 +==== Vulnerabilidad en URL de sistemas externos (CWE-200) ====
 + 
 +[1.233_16] Se corrigió una vulnerabilidad de seguridad donde las URLs de integración con sistemas externos contenían credenciales de usuario codificadas en base64 como parte de la URL. Dado que la codificación en base64 es una transformación reversible, las credenciales podían ser extraídas de forma trivial.
 + 
 +Se rediseñó el mecanismo de autenticación en las URLs de integración con sistemas externos para no exponer credenciales de usuario en la URL, reemplazando el esquema anterior por un mecanismo seguro que no revela información sensible (tokens opacos con encriptación AES-GCM)
 + 
 +Para mayor información sobre integración con sistemas externos, hacer click [[configuracionsistemasexternosurl|aquí]].
 +
 +----
 +
 +==== Cross-site Scripting persistente en notas de caso ====
 + 
 +[1.233_16]  Se corrigió una vulnerabilidad crítica de seguridad donde la API utilizada para añadir notas en casos permitía la inyección de código JavaScript malicioso (Cross-site Scripting persistente), posibilitando la captura de tokens de sesión de otros usuarios.
 + 
 +Se implementó la sanitización completa de caracteres especiales de HTML potencialmente maliciosos en las notas de caso
 + 
 +Para mayor información sobre Seguridad, hacer click [[informaciontecnicaba360#seguridad|aquí]].
 +
 +----
 +
 +==== Token de sesión no se invalida al cerrar sesión ====
 + 
 +[1.233_16] Se corrigió una vulnerabilidad de seguridad donde el token de sesión permanecía vigente y utilizable incluso después de que el usuario ejecutaba el cierre de sesión (logout). Esto incrementaba la posibilidad de que un atacante que obtuviera el token pudiera suplantar la identidad del usuario.
 + 
 +Con esta corrección, el token de sesión se invalida correctamente al momento de ejecutar el cierre de sesión, impidiendo su reutilización posterior.
 + 
 +Para mayor información sobre Seguridad, hacer click [[informaciontecnicaba360#seguridad|aquí]].
 +
 +----
 +
 +==== Exposición de credenciales en URLs de integración con sistemas de telefonía (CWE-200) ====
 + 
 +[1.233_16] Se corrigió una vulnerabilidad de seguridad donde el mecanismo de integración con sistemas de telefonía externos utilizaba URLs que contenían credenciales de usuario en texto plano, codificadas únicamente en base64. La contraseña real del usuario (no un token derivado) era parte de la URL, lo que permitía su extracción trivial.
 + 
 +Se rediseñó el mecanismo de integración para reemplazar la exposición de credenciales por un esquema de autenticación seguro que no incluye información sensible en las URLs (tokens opacos con encriptación AES-GCM).
 + 
 +Para mayor información sobre integración con sistemas externos, hacer click [[configuracionsistemasexternosurl|aquí]].
 +
 +----
 +
 +==== Exposición de información sensible en APIs (CWE-200) ====
 + 
 +[1.233_16] Se corrigieron dos casos de exposición de información sensible:
 + 
 +  - **API deprecada v10 activa**: El endpoint ''/ba360/apir/v10/usuario/get'' (versión deprecada que no fue dada de baja) devolvía hashes de contraseña (MD5) de los usuarios del sistema, accesible para cualquier usuario autenticado independientemente de su rol.
 +  - **API key de terceros expuesta**: El endpoint ''/ba360/apir/v11/sistemasexternos/get'' devolvía URLs completas de integraciones externas incluyendo API keys de terceros embebidas como parámetros.
 + 
 +Con esta corrección, se realizaron los siguientes ajustes:
 + 
 +  - Se dieron de baja los endpoints bajo la versión deprecada v10 de la API
 +  - Se protegieron las API keys de terceros para que no sean visibles desde el cliente
 + 
 +Para mayor información sobre Seguridad, hacer click [[informaciontecnicaba360#seguridad|aquí]].
 +
 +----
 +
 ==== Exposición de información en mensajes de error de endpoints de login (CWE-209) ==== ==== Exposición de información en mensajes de error de endpoints de login (CWE-209) ====
    
Línea 78: Línea 188:
  
 ===== Defectos corregidos ===== ===== Defectos corregidos =====
 +
 +=== Corrección en carga de archivos en casos reabiertos desde portal ===
 +
 +[1.234.5] Se corrige un error en el cual un caso cerrado y posteriormente reabierto desde la consola no permitía cargar archivos adjuntos en el portal de clientes. El problema se originaba porque el indicador de caso finalizado no se restablecía correctamente al reabrir el caso, provocando que el portal mantuviera las restricciones de un caso cerrado a pesar de que el estado ya había cambiado.
 +
 +Para mayor información sobre la gestión de casos en el portal de clientes, consulte [[portales|Portal de clientes de Be Aware 360]].
 +
 +----
 +
 +=== Corrección en indicador visual del stepper al mover de paso ===
 +
 +[1.234.5] Se corrige un error en el cual el indicador visual del stepper de pasos no se pintaba de color naranja al seleccionar un paso al cual se deseaba mover un caso. El comportamiento esperado es que al seleccionar un paso destino, el indicador visual se resalte en naranja antes de confirmar la acción.
 +
 +Para mayor información sobre el flujo de pasos en casos, consulte [[gestiondecasos|Gestión de casos]].
 +
 +----
 +
 +=== Corrección en la visualización de la pestaña Datos dentro de un caso ===
 +
 +[1.234.5] Se corrige un error intermitente en el cual la pestaña Datos dentro del detalle de un caso se mostraba visible pero no respondía a la interacción del usuario, requiriendo un refresco completo de la página para poder acceder a su contenido. El problema se originaba por una condición de carga asincrónica en los datos del caso.
 +
 +Para mayor información sobre la pestaña Datos en el detalle de casos, consulte [[gestiondecasos|Gestión de casos]].
 +
 +----
 +
 +=== Corrección en campos personalizados tipo lista en sistemas externos ===
 +
 +[1.234.5] Se corrige un error en el cual los campos personalizados de tipo lista no mostraban las opciones disponibles cuando el caso era visualizado a través de la integración con sistemas externos. Las listas desplegables aparecían vacías, impidiendo la selección de valores en el formulario del caso.
 +
 +Para mayor información sobre la configuración de campos personalizados y sistemas externos, consulte [[configuracionsistemasexternosurl|Configuración de sistemas externos]].
 +
 +----
 +
 +=== Corrección en asignación de estado al reabrir caso desde portal ===
 +
 +[1.234.5] Se corrige un error en el cual un caso cerrado en la consola y reabierto desde el portal de clientes quedaba con un estado nulo, impidiendo su gestión posterior. El sistema ahora recupera el estado previo al cierre a partir del historial del caso. Si el historial no contiene la información suficiente, se asigna el estado inicial por defecto. Adicionalmente, se incorporó una validación que impide la reapertura si no es posible determinar un estado válido para el caso.
 +
 +Para mayor información sobre la reapertura de casos desde el portal, consulte [[portales|Portal de clientes de Be Aware 360]].
 +
 +----
 +
 ==== Lista de chequeo permite seleccionar procesos inactivos ==== ==== Lista de chequeo permite seleccionar procesos inactivos ====
- +
 [1.233_1] Se corrigió un defecto en el módulo de **Lista de Chequeo** donde, al crear o editar una lista de chequeo de tipo Caso, el selector de workflow (proceso) permitía seleccionar procesos inactivos. Solo debería permitir la selección de procesos activos. [1.233_1] Se corrigió un defecto en el módulo de **Lista de Chequeo** donde, al crear o editar una lista de chequeo de tipo Caso, el selector de workflow (proceso) permitía seleccionar procesos inactivos. Solo debería permitir la selección de procesos activos.
    
Línea 90: Línea 241:
    
 Para mayor información sobre Listas de Chequeo, hacer click [[configuracionlistachequeo|aquí]]. Para mayor información sobre Listas de Chequeo, hacer click [[configuracionlistachequeo|aquí]].
 +
 +----
 +
 +==== Corrección de error en pantalla "Error Internal Server" ====
 + 
 +[1.233_16] Se corrigió un defecto que provocaba la visualización de una pantalla de error genérico "Error Internal Server" durante la operación en la consola de Be Aware 360. Con esta corrección, el sistema gestiona adecuadamente las solicitudes que anteriormente generaban este error, garantizando la continuidad de la operación del usuario.
 + 
 +Para obtener más información sobre información técnica de Be Aware 360, haga clic [[informaciontecnicaba360|aquí]].
 +
 +----
 +
 +==== Corrección en la visualización de correos del contacto y casillas en pestaña Notas ====
 + 
 +[1.233_16] Se corrigió un defecto en el cual no se cargaban correctamente los correos electrónicos del contacto ni las casillas de verificación en la pestaña **Notas** dentro del detalle de un caso. Con esta corrección, al acceder a la pestaña Notas, el sistema recupera y muestra correctamente los correos asociados al contacto y las casillas de selección correspondientes.
 + 
 +Para obtener más información sobre gestión de casos, haga clic [[casos|aquí]].
  
 ---- ----
Línea 198: Línea 365:
   *  Se reciben datos de elementos adjuntos en el payload del evento onclick   *  Se reciben datos de elementos adjuntos en el payload del evento onclick
   *  Se soluciona la configuración de campo requerido para componente datetime   *  Se soluciona la configuración de campo requerido para componente datetime
- 
  
 Para obtener más información sobre Experience Builder, haga clic [[beaware_hiperpersonalizacion|aquí]]. Para obtener más información sobre Experience Builder, haga clic [[beaware_hiperpersonalizacion|aquí]].
release_notes_abril_2026.1776959351.txt.gz · Última modificación: por clopez
Excepto donde se indique lo contrario, el contenido de este wiki esta bajo la siguiente licencia: CC Attribution-Noncommercial-Share Alike 4.0 International


  • Ver página
  • Revisiones antiguas
  • Enlaces a esta página
  • Cambios recientes
  • Administrador de Ficheros
  • Índice