Inicio / Alerta Temprana / Avisos Seguridad / Inyección SQL en GIM de TCMAN

Inyección SQL en GIM de TCMAN

Fecha de publicación: 
14/12/2021
Importancia: 
5 - Crítica
Recursos afectados: 

GIM, versiones 8 y 11.

Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en TCMAN GIM, con el código interno INCIBE-2021-0508, que ha sido descubierta por Francisco Palma, Luis Vázquez y Diego León de Zerolynx, con una mención especial a Jesús Alcalde, David Jiménez, José Hermoso, Sergio Gutiérrez, Juan Antonio Calles, Elina Cárdenas, Helena Jalain y Jorge Escabias.

A esta vulnerabilidad se le ha asignado el código CVE-2021-40850. Se ha calculado una puntuación base CVSS v3.1 de 10.0, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H.

Solución: 

El problema ha sido solucionado por TCMAN en GIM, versión 8.0.1 Release 31734.

Detalle: 

TCMAN GIM es vulnerable a una inyección SQL dentro de varios métodos de servicios web disponibles en /PC/WebService.asmx.

Esto podría permitir a un atacante remoto realizar consultas SQL como usuario administrador.

CWE-89: neutralización inadecuada de elementos especiales usados en un comando SQL (inyección SQL).

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración