Autenticación incorrecta en OpenSIAC del grupo GTT
OpenSIAC, versión 1.0.
Nota: el problema se limita a aquellos clientes que utilizan Cl@ve como sistema de identificación. Los clientes que utilizan OpenSIAC con otros sistemas de identificación, como VALIDe o certificado digital, no están afectados por esta vulnerabilidad ya resuelta.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta a OpenSIAC de grupo GTT, una plataforma de gobierno digital que se emplea para gestionar expedientes, trámites y servicios al ciudadano por parte de las Administraciones Públicas. La vulnerabilidad ha sido descubierta por David Manuel Herrera Rodríguez.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-41064: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-287
La vulnerabilidad ha sido solucionada por grupo GTT en la versión 1.2.
CVE-2025-41064: vulnerabilidad de autenticación incorrecta en OpenSIAC, cuya explotación podría permitir a un atacante suplantar a una persona que utilice Cl@ve como método de autenticación.
