Acceso indebido a ficheros en productos de T-Systems
Los siguientes productos de la suite TAO 2.0, en sus versiones anteriores a la 2602.00, están afectados:
- Archivo;
- MyTAO;
- eStima;
- Buroweb.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media, que afecta a varios productos de la suite TAO 2.0, una plataforma de gestión para la administración pública. La vulnerabilidad ha sido descubierta por el equipo interno de seguridad de T-Systems.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-7185: CVSS v4.0: 6.0 | CVSS AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-22
La vulnerabilidad, reportada por el propio equipo de T-Systems, ha sido corregida en la versión 2602.0.0 de los productos afectados. La recomendación general es actualizar a dicha versión o a cualquier versión posterior que incorpore estas correcciones.
CVE-2026-7185: se ha identificado una debilidad de validación en determinadas funcionalidades web relacionadas con la gestión o inclusión de ficheros en varios productos de la suite TAO 2.0. Esta debilidad podría permitir que un atacante con capacidad de interacción con la funcionalidad afectada intentase acceder a recursos del sistema de ficheros fuera del ámbito previsto por la aplicación.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-7185 | Media | No | T-Systems |
