Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Gandia Integra Total de TESI

Fecha de publicación 31/07/2025
Identificador
INCIBE-2025-00414
Importancia
5 - Crítica
Recursos Afectados

Gandia Integra Total, desde la versión 2.1.2217.3 hasta 4.4.2236.1.

Descripción

INCIBE ha coordinado la publicación de 8 vulnerabilidades, 2 de severidad crítica y 6 de severidad alta que afectan a Gandia Integra de TESI, un software para la gestión de encuestas y análisis de mercados, versiones desde la 2.1.2217.3 hasta 4.4.2236.1, las cuales han sido descubiertas por David Utón Amaya (m3n0sd0n4ld).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • De CVE-2025-41370 a CVE-2025-41371: CVSS v4.0: 9.3 | CVSS4.0 AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
  • De CVE-2025-41372 a CVE-2025-41377: CVSS v4.0: 8.7 | CVSS:4.0 AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
Solución

La vulnerabilidad ha sido solucionada por el equipo de TESI en la versión 4.4.2431.5.

Detalle

Se ha encontrado una vulnerabilidad de inyección SQL en Gandia Integra Total de TESI desde la versión 2.1.2217.3 hasta v4.4.2236.1. La vulnerabilidad permite a un atacante autenticado recuperar, crear, actualizar y eliminar bases de datos.

La relación de parámetros, endpoints e identificadores asignados es la siguiente:

  • Sin autenticación requerida:
    • CVE-2025-41370: parámetro 'idestudio' en /encuestas/integraweb/html/view/acceso.php.
    • CVE-2025-41371: parámetro 'idestudio' en /encuestas/integraweb_v4/integra/html/view/acceso.php.
  • Con autenticación:
    • CVE-2025-41372: parámetro 'idestudio' en /encuestas/integraweb[_v4]/integra/html/view/informe_campo_entrevistas.php.
    • CVE-2025-41373: parámetro 'idestudio' en /encuestas/integraweb[_v4]/integra/html/view/hislistadoacciones.php.
    • CVE-2025-41374: parámetro 'destudio' en /encuestas/integraweb[_v4]/integra/html/view/gestpaginasesp.php.
    • CVE-2025-41375: parámetro 'idestudio' en /encuestas/integraweb[_v4]/integra/html/view/consultaincimails.php.
    • CVE-2025-41376: parámetro 'idestudio' en /encuestas/integraweb[_v4]/integra/html/view/consultacuotasred.php.
    • CVE-2025-41377: parámetro 'idestudio' en /encuestas/integraweb[_v4]/integra/html/view/consultacuotas.php.
       
CVE
Explotación
No
Listado de referencias