Inyección SQL en time@work de systems@work
time@work, versión 7.0.5.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a time@work de systems@work, un programa para la imputación de horas trabajadas en proyectos. La vulnerabilidad ha sido descubierta por Enrique Fernández Lorenzo (Bighound).
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-59920: CVSS v4.0: 8.6 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-89
La vulnerabilidad ha sido solucionada por el equipo de systems@work en la versión 8.0.4.
CVE-2025-59920: cuando se imputan las horas en time@work, versión 7.0.5, este realiza una consulta para mostrar los proyectos asignados al usuario. Si la URL de la consulta se copia y se abre en una nueva ventana del navegador, el parámetro 'IDClient' es vulnerable a una inyección SQL autenticada ciega. Si la petición se realiza con el usuario TWAdmin con el rol sysadmin habilitado, la explotación de la vulnerabilidad permitirá la ejecución de comandos en el sistema; si el usuario no pertenece al rol de sysadmin, de todos modos, podrá consultar datos de la base de datos.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2025-59920 | Alta | No | systems@work |
