Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en TCMAN GIM

Fecha de publicación 24/11/2025
Identificador
INCIBE-2025-0659
Importancia
4 - Alta
Recursos Afectados

GIM, versiones anteriores a 20250304.

Descripción

INCIBE ha coordinado la publicación de 4 vulnerabilidades, 2 de severidad alta y 2 de severidad media, que afectan a GIM de TCMAN, una solución de software de gestión de mantenimiento. Las vulnerabilidades han sido descubiertas por Hugo Leal Vara.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-41012: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-862
  • CVE-2025-41013: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
  • CVE-2025-41014 y CVE-2025-41015: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-200
Solución

Las vulnerabilidades han sido solucionadas por el equipo de TCMAN en la versión 20250401.

Detalle
  • CVE-2025-41012: vulnerabilidad de falta de autorización en TCMAN GIM v11 en la versión 20250304. Esta vulnerabilidad permite a un atacante, no autenticado, saber si un usuario existe en el sistema mediante el uso de los parámetros 'pda:userId' y 'pda:newPassword' con 'soapaction UnlockUser' en '/WS/PDAWebService.asmx'.
  • CVE-2025-41013: vulnerabilidad de inyección SQL en TCMAN GIM v11 en la versión 20250304. Esta vulnerabilidad permite a un atacante recuperar, crear, actualizar y eliminar bases de datos mediante el envío de una solicitud GET utilizando el parámetro 'idmant' en '/PC/frmEPIS.aspx'.
  • Vulnerabilidad de Enumeración de Usuarios en TCMAN GIM v11 en la versión 20250304. Esta vulnerabilidad permite a un atacante, no autenticado, saber si un usuario existe en el sistema. La relación de parámetros e identificadores asignados es la siguiente:
    • CVE-2025-41014: parámetro 'pda:username' con 'soapaction GetLastDatePasswordChange' en '/WS/PDAWebService.asmx'.
    • CVE-2025-41015: parámetro 'pda:username' con 'soapaction GetUserQuestionAndAnswer' en '/WS/PDAWebService.asmx'.
CVE
Explotación
No
Fabricante
tcman
Identificador CVE
CVE-2025-41012
Severidad
Alta
Explotación
No
Fabricante
tcman
Identificador CVE
CVE-2025-41013
Severidad
Alta
Explotación
No
Fabricante
tcman
Identificador CVE
CVE-2025-41014
Severidad
Media
Explotación
No
Fabricante
tcman
Identificador CVE
CVE-2025-41015
Severidad
Media
Listado de referencias
Gim V11 - TCMAN
Etiquetas