Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Deserialización de datos no confiables en Cityworks de Trimble

Fecha de publicación 07/02/2025
Identificador
INCIBE-2025-0063
Importancia
4 - Alta
Recursos Afectados

Las siguientes versiones de Trimble Cityworks:

  • Cityworks: todas las versiones anteriores a la 15.8.9;
  • Cityworks con Office Companion: todas las versiones anteriores a la 23.10.
Descripción

Trimble ha informado de una vulnerabilidad de severidad alta que podría permitir que un usuario autenticado realice una ejecución remota de código (RCE).

Solución

Trimble recomienda actualizar los productos afectados a las siguientes versiones:

  • Cityworks: actualizar a la versión 15.8.9 o posterior.
  • Cityworks con Office Companion: actualizar a la versión 23.10 o posterior.

Se sugiere a los usuarios contactar al soporte técnico de Trimble para obtener las actualizaciones correspondientes.

Detalle

La vulnerabilidad se debe a una deserialización de datos no confiables en las versiones afectadas de Trimble Cityworks. Un usuario autenticado, podría explotar esta vulnerabilidad para ejecutar código malicioso de forma remota en el servidor IIS del cliente, comprometiendo la integridad, confidencialidad y disponibilidad del sistema afectado. 

Se ha asignado el identificador CVE-2025-0994  para esta vulnerabilidad.

Listado de referencias