Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en TCMAN GIM

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en TCMAN GIM

Aviso
Recursos Afectados

GIM, versión 11.

Descripción

INCIBE ha coordinado la publicación de 3 vulnerabilidades de severidad media, que afectan a GIM de TCMAN, un software de gestión de mantenimiento. Las vulnerabilidades han sido descubiertas por Jorge Riopedre Vega.

A estas vulnerabilidades se les ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y tipo de vulnerabilidad CWE:

  • CVE-2025-40668 a CVE-2025-40670: CVSS v4.0: 7.1 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-863
Identificador
INCIBE-2025-0300

3 – Media
Solución

Las vulnerabilidades han sido solucionadas por el equipo de TCMAN. El fabricante ha informado que las vulnerabilidades no se encuentran en la versión más actual de GIM Web versión 20250128.

Detalle
  • CVE-2025-40668: vulnerabilidad de autorización incorrecta en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante, con bajo nivel de privilegios, cambiar la contraseña de otros usuarios a través de una petición POST utilizando los parámetros idUsuario, PasswordActual, PasswordNuevo y PasswordNuevoRepetir en /PC/WebService.aspx/validarCambioContrase%C3%B1a. Para explotar la vulnerabilidad el parámetro PasswordActual debe estar vacío.
  • CVE-2025-40669: vulnerabilidad de autorización incorrecta en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante sin privilegios modificar los permisos que tiene cada uno de los usuarios de la aplicación, incluido el propio usuario mediante el envío de una petición POST a /PC/Options.aspx?Command=2&Page=-1.
  • CVE-2025-40670: vulnerabilidad de autorización incorrecta en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante sin privilegios crear un usuario y asignarle muchos privilegios mediante el envío de una petición POST a /PC/frmGestionUsuario.aspx/actualizarUsuario.
Listado de referencias
GIM v11 – TCMAN

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.