Inyección SQL en time@work de systems@work
time@work, versión 7.0.5.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a time@work de systems@work, un programa para la imputación de horas trabajadas en proyectos. La vulnerabilidad ha sido descubierta por Enrique Fernández Lorenzo (Bighound).
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-59920: CVSS v4.0: 8.6 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-89
La vulnerabilidad ha sido solucionada por el equipo de systems@work en la versión 8.0.4.
CVE-2025-59920: cuando se imputan las horas en time@work, versión 7.0.5, este realiza una consulta para mostrar los proyectos asignados al usuario. Si la URL de la consulta se copia y se abre en una nueva ventana del navegador, el parámetro ‘IDClient’ es vulnerable a una inyección SQL autenticada ciega. Si la petición se realiza con el usuario TWAdmin con el rol sysadmin habilitado, la explotación de la vulnerabilidad permitirá la ejecución de comandos en el sistema; si el usuario no pertenece al rol de sysadmin, de todos modos, podrá consultar datos de la base de datos.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2025-59920 | Alta | No | systems@work |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.