Múltiples vulnerabilidades en Gandia Integra Total de TESI
Gandia Integra Total, desde la versión 2.1.2217.3 hasta 4.4.2236.1.
INCIBE ha coordinado la publicación de 8 vulnerabilidades, 2 de severidad crítica y 6 de severidad alta que afectan a Gandia Integra de TESI, un software para la gestión de encuestas y análisis de mercados, versiones desde la 2.1.2217.3 hasta 4.4.2236.1, las cuales han sido descubiertas por David Utón Amaya (m3n0sd0n4ld).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- De CVE-2025-41370 a CVE-2025-41371: CVSS v4.0: 9.3 | CVSS4.0 AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
- De CVE-2025-41372 a CVE-2025-41377: CVSS v4.0: 8.7 | CVSS:4.0 AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
La vulnerabilidad ha sido solucionada por el equipo de TESI en la versión 4.4.2431.5.
Se ha encontrado una vulnerabilidad de inyección SQL en Gandia Integra Total de TESI desde la versión 2.1.2217.3 hasta v4.4.2236.1. La vulnerabilidad permite a un atacante autenticado recuperar, crear, actualizar y eliminar bases de datos.
La relación de parámetros, endpoints e identificadores asignados es la siguiente:
- Sin autenticación requerida:
- CVE-2025-41370: parámetro 'idestudio' en /encuestas/integraweb/html/view/acceso.php.
- CVE-2025-41371: parámetro 'idestudio' en /encuestas/integraweb_v4/integra/html/view/acceso.php.
- Con autenticación:
- CVE-2025-41372: parámetro 'idestudio' en /encuestas/integraweb[_v4]/integra/html/view/informe_campo_entrevistas.php.
- CVE-2025-41373: parámetro 'idestudio' en /encuestas/integraweb[_v4]/integra/html/view/hislistadoacciones.php.
- CVE-2025-41374: parámetro 'destudio' en /encuestas/integraweb[_v4]/integra/html/view/gestpaginasesp.php.
- CVE-2025-41375: parámetro 'idestudio' en /encuestas/integraweb[_v4]/integra/html/view/consultaincimails.php.
- CVE-2025-41376: parámetro 'idestudio' en /encuestas/integraweb[_v4]/integra/html/view/consultacuotasred.php.
- CVE-2025-41377: parámetro 'idestudio' en /encuestas/integraweb[_v4]/integra/html/view/consultacuotas.php.