Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en TCMAN GIM

Fecha de publicación 09/06/2025
Identificador
INCIBE-2025-0300
Importancia
3 - Media
Recursos Afectados

GIM, versión 11.

Descripción

INCIBE ha coordinado la publicación de 3 vulnerabilidades de severidad media, que afectan a GIM de TCMAN, un software de gestión de mantenimiento. Las vulnerabilidades han sido descubiertas por Jorge Riopedre Vega.

A estas vulnerabilidades se les ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y tipo de vulnerabilidad CWE:

  • CVE-2025-40668 a CVE-2025-40670: CVSS v4.0: 7.1 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-863
Solución

Las vulnerabilidades han sido solucionadas por el equipo de TCMAN. El fabricante ha informado que las vulnerabilidades no se encuentran en la versión más actual de GIM Web versión 20250128.

Detalle
  • CVE-2025-40668: vulnerabilidad de autorización incorrecta en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante, con bajo nivel de privilegios, cambiar la contraseña de otros usuarios a través de una petición POST utilizando los parámetros idUsuario, PasswordActual, PasswordNuevo y PasswordNuevoRepetir en /PC/WebService.aspx/validarCambioContrase%C3%B1a. Para explotar la vulnerabilidad el parámetro PasswordActual debe estar vacío.
  • CVE-2025-40669: vulnerabilidad de autorización incorrecta en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante sin privilegios modificar los permisos que tiene cada uno de los usuarios de la aplicación, incluido el propio usuario mediante el envío de una petición POST a /PC/Options.aspx?Command=2&Page=-1.
  • CVE-2025-40670: vulnerabilidad de autorización incorrecta en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante sin privilegios crear un usuario y asignarle muchos privilegios mediante el envío de una petición POST a /PC/frmGestionUsuario.aspx/actualizarUsuario.
Listado de referencias