Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en Gandia Integra Total de TESI

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en Gandia Integra Total de TESI

Aviso
Recursos Afectados

Gandia Integra Total, desde la versión 2.1.2217.3 hasta 4.4.2236.1.

Descripción

INCIBE ha coordinado la publicación de 8 vulnerabilidades, 2 de severidad crítica y 6 de severidad alta que afectan a Gandia Integra de TESI, un software para la gestión de encuestas y análisis de mercados, versiones desde la 2.1.2217.3 hasta 4.4.2236.1, las cuales han sido descubiertas por David Utón Amaya (m3n0sd0n4ld).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • De CVE-2025-41370 a CVE-2025-41371: CVSS v4.0: 9.3 | CVSS4.0 AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
  • De CVE-2025-41372 a CVE-2025-41377: CVSS v4.0: 8.7 | CVSS:4.0 AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
Identificador
INCIBE-2025-00414

5 – Crítica
Solución

La vulnerabilidad ha sido solucionada por el equipo de TESI en la versión 4.4.2431.5.

Detalle

Se ha encontrado una vulnerabilidad de inyección SQL en Gandia Integra Total de TESI desde la versión 2.1.2217.3 hasta v4.4.2236.1. La vulnerabilidad permite a un atacante autenticado recuperar, crear, actualizar y eliminar bases de datos.

La relación de parámetros, endpoints e identificadores asignados es la siguiente:

  • Sin autenticación requerida:
    • CVE-2025-41370: parámetro ‘idestudio’ en /encuestas/integraweb/html/view/acceso.php.
    • CVE-2025-41371: parámetro ‘idestudio’ en /encuestas/integraweb_v4/integra/html/view/acceso.php.
  • Con autenticación:
    • CVE-2025-41372: parámetro ‘idestudio’ en /encuestas/integraweb[_v4]/integra/html/view/informe_campo_entrevistas.php.
    • CVE-2025-41373: parámetro ‘idestudio’ en /encuestas/integraweb[_v4]/integra/html/view/hislistadoacciones.php.
    • CVE-2025-41374: parámetro ‘destudio’ en /encuestas/integraweb[_v4]/integra/html/view/gestpaginasesp.php.
    • CVE-2025-41375: parámetro ‘idestudio’ en /encuestas/integraweb[_v4]/integra/html/view/consultaincimails.php.
    • CVE-2025-41376: parámetro ‘idestudio’ en /encuestas/integraweb[_v4]/integra/html/view/consultacuotasred.php.
    • CVE-2025-41377: parámetro ‘idestudio’ en /encuestas/integraweb[_v4]/integra/html/view/consultacuotas.php.
       
Listado de referencias
TESI

CVE
Explotación
No

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.