Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en GIM de TCMAN

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en GIM de TCMAN

Aviso
Recursos Afectados

GIM v11.

Descripción

INCIBE ha coordinado la publicación de 6 vulnerabilidades de severidad crítica que afectan a GIM v11, una herramienta de software que ayuda en la gestión de los servicios de mantenimiento y gestión sobre los activos físicos de una organización, las cuales han sido descubiertas por Pablo Pardo.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-40620 a CVE-2025-40624: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
  • CVE-2025-40625: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-434
Identificador
INCIBE-2025-0218

5 – Crítica
Solución

La vulnerabilidad ha sido solucionada por el equipo de TCMAN en la versión 1280.

Detalle

CVE-2025-40620 a CVE-2025-40624: inyección SQL en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante, no autenticado, inyectar una sentencia SQL para obtener, actualizar y eliminar toda la información de la base de datos. Esta vulnerabilidad fue encontrada en cada uno de los siguientes parámetros según el identificador de la vulnerabilidad:

  • CVE-2025-40620: parámetro “User” del endpoint “ValidateUserAndWS”.
  • CVE-2025-40621: parámetro “User” del endpoint “ValidateUserAndGetData”.
  • CVE-2025-40622: parámetro “username” del endpoint “GetLastDatePasswordChange”.
  • CVE-2025-40623: parámetros “Emisor” y “email” del endpoint “createNotificationAndroid”.
  • CVE-2025-40624: parámetros “User” y “email” del endpoint “updatePassword”.

CVE-2025-40625: carga de archivos sin restricciones en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante no autenticado cargar cualquier archivo dentro del servidor, incluso un archivo malicioso para obtener una Ejecución de Código Remoto (RCE).

Listado de referencias
TCMAN – GIM11 | Web oficial

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.