Inicio / Content / Boletín de INCIBE-CERT del 14-12-2021

Boletín de INCIBE-CERT del 14-12-2021

Autenticación inadecuada en GIM de TCMAN

Fecha de publicación: 
14/12/2021
Importancia: 
4 - Alta
Recursos afectados: 

GIM, versiones 8 y 11.

Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en TCMAN GIM, con el código interno INCIBE-2021-0509, que ha sido descubierta por Francisco Palma, Luis Vázquez y Diego León de Zerolynx, con una mención especial a Jesús Alcalde, David Jiménez, José Hermoso, Sergio Gutiérrez, Juan Antonio Calles, Elina Cárdenas, Helena Jalain y Jorge Escabias.

A esta vulnerabilidad se le ha asignado el código CVE-2021-40851. Se ha calculado una puntuación base CVSS v3.1 de 7.5, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N.

Solución: 

El problema ha sido solucionado por TCMAN en GIM, versión 8.0.1 Release 31734.

Detalle: 

TCMAN GIM presenta una falta de autenticación en todos los métodos de servicios web disponibles en /PC/WebService.asmx.

Esto podría permitir a un atacante remoto obtener información.

CWE-287: autenticación inadecuada.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración

Vulnerabilidad de redirección abierta en GIM de TCMAN

Fecha de publicación: 
14/12/2021
Importancia: 
3 - Media
Recursos afectados: 

GIM, versiones 8 y 11.

Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en TCMAN GIM, con el código interno INCIBE-2021-0510, que ha sido descubierta por Víctor Fidalgo Villar, investigador de INCIBE.

A esta vulnerabilidad se le ha asignado el código CVE-2021-40852. Se ha calculado una puntuación base CVSS v3.1 de 6.1, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N.

Solución: 

El problema ha sido solucionado por TCMAN en GIM, versión 8.0.1 Release 31734.

Detalle: 

TCMAN GIM presenta una vulnerabilidad de redirección abierta, lo que podría permitir redirigir la navegación de un usuario a páginas controladas por un atacante.

Esto podría permitir a un atacante remoto obtener información.

CWE-601: redireccionamiento de URL a un sitio no confiable (redirección abierta).

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración

Falta de autenticación en GIM de TCMAN

Fecha de publicación: 
14/12/2021
Importancia: 
3 - Media
Recursos afectados: 

GIM, versiones 8 y 11.

Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en TCMAN GIM, con el código interno INCIBE-2021-0511, que ha sido descubierta por Víctor Fidalgo Villar, investigador de INCIBE.

A esta vulnerabilidad se le ha asignado el código CVE-2021-40853. Se ha calculado una puntuación base CVSS v3.1 de 6.1, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N.

Solución: 

El problema ha sido solucionado por TCMAN en GIM, versión 8.0.1 Release 31734.

Detalle: 

TCMAN GIM no realiza una comprobación de autenticación al acceder a determinadas fuentes, lo que podría permitir a un atacante remoto, sin privilegios, acceder a URL que requieren privilegios.

Esto podría permitir a un atacante remoto obtener información sensible.

CWE-862: falta de autenticación.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración

Gestión inadecuada de credenciales en Remote Application Server de Parallels

Fecha de publicación: 
14/12/2021
Importancia: 
4 - Alta
Recursos afectados: 

Parallels Remote Application Server (Client), versiones de la 15.5 a la 17.

Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en Parallels Remote Application Server, con el código interno INCIBE-2021-0512, que ha sido descubierta por Francisco Palma, Diego León y David Jiménez de Zerolynx.

A esta vulnerabilidad se le ha asignado el código CVE-2020-8968. Se ha calculado una puntuación base CVSS v3.1 de 8.0, siendo el cálculo del CVSS el siguiente: AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L.

Solución: 

Aplicar el parche de seguridad que publique Parallels en su base de conocimiento.

Detalle: 

Parallels Remote Application Server (RAS) podría permitir a un atacante local recuperar determinadas contraseñas de perfil en formato de texto claro, mediante la carga de un archivo cifrado previamente almacenado por Parallels RAS.

La confidencialidad, disponibilidad e integridad de la información de un usuario podrían ser comprometidas si un atacante puede recuperar la contraseña del perfil.

CWE-255: errores en la gestión de credenciales.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración

Inyección SQL en GIM de TCMAN

Fecha de publicación: 
14/12/2021
Importancia: 
5 - Crítica
Recursos afectados: 

GIM, versiones 8 y 11.

Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en TCMAN GIM, con el código interno INCIBE-2021-0508, que ha sido descubierta por Francisco Palma, Luis Vázquez y Diego León de Zerolynx, con una mención especial a Jesús Alcalde, David Jiménez, José Hermoso, Sergio Gutiérrez, Juan Antonio Calles, Elina Cárdenas, Helena Jalain y Jorge Escabias.

A esta vulnerabilidad se le ha asignado el código CVE-2021-40850. Se ha calculado una puntuación base CVSS v3.1 de 10.0, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H.

Solución: 

El problema ha sido solucionado por TCMAN en GIM, versión 8.0.1 Release 31734.

Detalle: 

TCMAN GIM es vulnerable a una inyección SQL dentro de varios métodos de servicios web disponibles en /PC/WebService.asmx.

Esto podría permitir a un atacante remoto realizar consultas SQL como usuario administrador.

CWE-89: neutralización inadecuada de elementos especiales usados en un comando SQL (inyección SQL).

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración