Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en TCMAN GIM

Fecha de publicación 26/05/2025
Identificador
INCIBE-2025-0270
Importancia
5 - Crítica
Recursos Afectados

GIM, versión 11.

Descripción

INCIBE ha coordinado la publicación de 4 vulnerabilidades: una de severidad crítica y 3 de severidad alta, que afectan a GIM de TCMAN, una herramienta de software que ayuda en la gestión de los servicios de mantenimiento y gestión sobre los activos físicos de una organización. Las vulnerabilidades han sido descubiertas por Carlos Aguadé.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE. 

  • CVE-2025-40664: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N. | CWE-306
  • CVE-2025-40665 y CVE-2025-40666: 8.7 | CVSS:4.0/ AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
  •  CVE-2025-40667: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N. | CWE-862
Solución

Las vulnerabilidades han sido solucionadas por el equipo de TCMAN en la versión 20241112.

Detalle
  • CVE-2025-40664: vulnerabilidad de falta de autenticación en GIM v11 de TCMAN. Esta permite a un atacante, no autenticado, acceder a los recursos /frmGestionUsuario.aspx/GetData, /frmGestionUsuario.aspx/actualizarUsuario y /frmGestionUsuario.aspx/BorrarUsuario.
  • Vulnerabilidades de inyección SQL ciega basada en el tiempo en GIM v11 de TCMAN. Estas permiten a un atacante recuperar, crear, actualizar y eliminar bases de datos. La relación de parámetros e identificadores asignados es la siguiente:
    • CVE-2025-40665: parámetro ArbolID en /GIMWeb/PC/frmCorrectivosList.aspx.
    • CVE-2025-40666: parámetro ArbolID en /GIMWeb/PC/frmPreventivosList.aspx.
  • CVE-2025-40667: vulnerabilidad de falta de autorización en GIM v11 de TCMAN. Esta permite a un atacante autenticado acceder a cualquier funcionalidad de la aplicación incluso cuando no están disponibles a través de la interfaz de usuario. Para explotar la vulnerabilidad el atacante debe modificar el código HTTP de la respuesta de “302 Found” a “200 OK”, así como los campos ocultos hdnReadOnly y hdnUsuarioLogin.
Listado de referencias
GIMV11 - Web del producto
Etiquetas