Múltiples vulnerabilidades en GIM de TCMAN
GIM v11.
INCIBE ha coordinado la publicación de 6 vulnerabilidades de severidad crítica que afectan a GIM v11, una herramienta de software que ayuda en la gestión de los servicios de mantenimiento y gestión sobre los activos físicos de una organización, las cuales han sido descubiertas por Pablo Pardo.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-40620 a CVE-2025-40624: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
- CVE-2025-40625: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-434
La vulnerabilidad ha sido solucionada por el equipo de TCMAN en la versión 1280.
CVE-2025-40620 a CVE-2025-40624: inyección SQL en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante, no autenticado, inyectar una sentencia SQL para obtener, actualizar y eliminar toda la información de la base de datos. Esta vulnerabilidad fue encontrada en cada uno de los siguientes parámetros según el identificador de la vulnerabilidad:
- CVE-2025-40620: parámetro “User” del endpoint “ValidateUserAndWS”.
- CVE-2025-40621: parámetro “User” del endpoint “ValidateUserAndGetData”.
- CVE-2025-40622: parámetro “username” del endpoint “GetLastDatePasswordChange”.
- CVE-2025-40623: parámetros “Emisor” y “email” del endpoint “createNotificationAndroid”.
- CVE-2025-40624: parámetros “User” y “email” del endpoint “updatePassword”.
CVE-2025-40625: carga de archivos sin restricciones en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante no autenticado cargar cualquier archivo dentro del servidor, incluso un archivo malicioso para obtener una Ejecución de Código Remoto (RCE).