Dos nuevos avisos de seguridad
Índice
- Cross-Site Scripting (XSS) reflejado en Bagisto
- Múltiples vulnerabilidades en TCMAN GIM
Cross-Site Scripting (XSS) reflejado en Bagisto
Bagisto, versión 2.0.0.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Bagisto, un software de eCommerce. La vulnerabilidad ha sido descubierta por Gonzalo Aguilar García (6h4ack).
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-40675: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
El equipo de Bagisto asegura que la vulnerabilidad ya no se encuentra en la versión 2.2.3.
CVE-2025-40675: vulnerabilidad Cross-Site Scripting (XSS) reflejado en Bagisto v2.0.0. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa utilizando el parámetro query en /search. Esta vulnerabilidad puede ser explotada para robar datos sensibles del usuario, como cookies de sesión, o para realizar acciones en nombre del usuario.
Múltiples vulnerabilidades en TCMAN GIM
GIM, versión 11.
INCIBE ha coordinado la publicación de 3 vulnerabilidades de severidad media, que afectan a GIM de TCMAN, un software de gestión de mantenimiento. Las vulnerabilidades han sido descubiertas por Jorge Riopedre Vega.
A estas vulnerabilidades se les ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y tipo de vulnerabilidad CWE:
- CVE-2025-40668 a CVE-2025-40670: CVSS v4.0: 7.1 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-863
Las vulnerabilidades han sido solucionadas por el equipo de TCMAN. El fabricante ha informado que las vulnerabilidades no se encuentran en la versión más actual de GIM Web versión 20250128.
- CVE-2025-40668: vulnerabilidad de autorización incorrecta en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante, con bajo nivel de privilegios, cambiar la contraseña de otros usuarios a través de una petición POST utilizando los parámetros idUsuario, PasswordActual, PasswordNuevo y PasswordNuevoRepetir en /PC/WebService.aspx/validarCambioContrase%C3%B1a. Para explotar la vulnerabilidad el parámetro PasswordActual debe estar vacío.
- CVE-2025-40669: vulnerabilidad de autorización incorrecta en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante sin privilegios modificar los permisos que tiene cada uno de los usuarios de la aplicación, incluido el propio usuario mediante el envío de una petición POST a /PC/Options.aspx?Command=2&Page=-1.
- CVE-2025-40670: vulnerabilidad de autorización incorrecta en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante sin privilegios crear un usuario y asignarle muchos privilegios mediante el envío de una petición POST a /PC/frmGestionUsuario.aspx/actualizarUsuario.