Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Cross-Site Scripting (XSS) reflejado en Bagisto
  • Múltiples vulnerabilidades en TCMAN GIM

Cross-Site Scripting (XSS) reflejado en Bagisto

Fecha09/06/2025
Importancia3 - Media
Recursos Afectados

Bagisto, versión 2.0.0.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Bagisto, un software de eCommerce. La vulnerabilidad ha sido descubierta por Gonzalo Aguilar García (6h4ack).

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-40675: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

El equipo de Bagisto asegura que la vulnerabilidad ya no se encuentra en la versión 2.2.3.

Detalle

CVE-2025-40675: vulnerabilidad Cross-Site Scripting (XSS) reflejado en Bagisto v2.0.0. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa utilizando el parámetro query en /search. Esta vulnerabilidad puede ser explotada para robar datos sensibles del usuario, como cookies de sesión, o para realizar acciones en nombre del usuario.

Múltiples vulnerabilidades en TCMAN GIM

Fecha09/06/2025
Importancia3 - Media
Recursos Afectados

GIM, versión 11.

Descripción

INCIBE ha coordinado la publicación de 3 vulnerabilidades de severidad media, que afectan a GIM de TCMAN, un software de gestión de mantenimiento. Las vulnerabilidades han sido descubiertas por Jorge Riopedre Vega.

A estas vulnerabilidades se les ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y tipo de vulnerabilidad CWE:

  • CVE-2025-40668 a CVE-2025-40670: CVSS v4.0: 7.1 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-863
Solución

Las vulnerabilidades han sido solucionadas por el equipo de TCMAN. El fabricante ha informado que las vulnerabilidades no se encuentran en la versión más actual de GIM Web versión 20250128.

Detalle
  • CVE-2025-40668: vulnerabilidad de autorización incorrecta en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante, con bajo nivel de privilegios, cambiar la contraseña de otros usuarios a través de una petición POST utilizando los parámetros idUsuario, PasswordActual, PasswordNuevo y PasswordNuevoRepetir en /PC/WebService.aspx/validarCambioContrase%C3%B1a. Para explotar la vulnerabilidad el parámetro PasswordActual debe estar vacío.
  • CVE-2025-40669: vulnerabilidad de autorización incorrecta en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante sin privilegios modificar los permisos que tiene cada uno de los usuarios de la aplicación, incluido el propio usuario mediante el envío de una petición POST a /PC/Options.aspx?Command=2&Page=-1.
  • CVE-2025-40670: vulnerabilidad de autorización incorrecta en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante sin privilegios crear un usuario y asignarle muchos privilegios mediante el envío de una petición POST a /PC/frmGestionUsuario.aspx/actualizarUsuario.