Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Bypass en el método de autenticación del aplicativo Sistema de Información Tributario de GTT

In Noticias y Avisos CiberseguridadPosted

Bypass en el método de autenticación del aplicativo Sistema de Información Tributario de GTT

Aviso
Recursos Afectados

Sistema de Información Tributario.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta al aplicativo del Sistema de Información Tributario de GTT, una solución tecnológica que da respuesta a la gestión tributaria integral en la Administración, la cual ha sido descubierta por Julian J. Menéndez de Hispasec.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

CVE-2025-13953: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N | CWE-290

Identificador
INCIBE-2025-0700

5 – Crítica
Solución

La vulnerabilidad ha sido corregida deshabilitando el método de autenticación mediante Active Directory (LDAP). La vulnerabilidad ya no es explotable en estos momentos.

Detalle

CVE-2025-13953: vulnerabilidad de bypass en el método de autenticación en la aplicación Sistema de Información Tributario de GTT, relacionada con el método de inicio de sesión mediante Active Directory (LDAP).

La autenticación se realiza a través de un WebSocket local, pero la aplicación web no valida adecuadamente la autenticidad ni el origen de los datos recibidos, lo que permite que un atacante con acceso a la máquina local o a la red interna pueda suplantar el WebSocket legítimo e inyectar información manipulada.

La explotación de esta vulnerabilidad podría permitir a un atacante autenticarse como cualquier usuario del dominio, sin necesidad de credenciales válidas, comprometiendo la confidencialidad, integridad y disponibilidad de la aplicación y sus datos.

Listado de referencias
Sistema de Información Tributario.

CVE
Explotación
No

Nuevo Fabricante
GTT

Identificador CVE
CVE-2025-13953

Severidad
Crítica

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.