Inicio / Alerta Temprana / Avisos Seguridad / Autenticación inadecuada en GIM de TCMAN

Autenticación inadecuada en GIM de TCMAN

Fecha de publicación: 
14/12/2021
Importancia: 
4 - Alta
Recursos afectados: 

GIM, versiones 8 y 11.

Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en TCMAN GIM, con el código interno INCIBE-2021-0509, que ha sido descubierta por Francisco Palma, Luis Vázquez y Diego León de Zerolynx, con una mención especial a Jesús Alcalde, David Jiménez, José Hermoso, Sergio Gutiérrez, Juan Antonio Calles, Elina Cárdenas, Helena Jalain y Jorge Escabias.

A esta vulnerabilidad se le ha asignado el código CVE-2021-40851. Se ha calculado una puntuación base CVSS v3.1 de 7.5, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N.

Solución: 

El problema ha sido solucionado por TCMAN en GIM, versión 8.0.1 Release 31734.

Detalle: 

TCMAN GIM presenta una falta de autenticación en todos los métodos de servicios web disponibles en /PC/WebService.asmx.

Esto podría permitir a un atacante remoto obtener información.

CWE-287: autenticación inadecuada.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración