Inyección SQL en GIM de TCMAN

Fecha de publicación 14/12/2021
Importancia
5 - Crítica
Recursos Afectados

GIM, versiones 8 y 11.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad en TCMAN GIM, con el código interno INCIBE-2021-0508, que ha sido descubierta por Francisco Palma, Luis Vázquez y Diego León de Zerolynx, con una mención especial a Jesús Alcalde, David Jiménez, José Hermoso, Sergio Gutiérrez, Juan Antonio Calles, Elina Cárdenas, Helena Jalain y Jorge Escabias.

A esta vulnerabilidad se le ha asignado el código CVE-2021-40850. Se ha calculado una puntuación base CVSS v3.1 de 10.0, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H.

Solución

El problema ha sido solucionado por TCMAN en GIM, versión 8.0.1 Release 31734.

Detalle

TCMAN GIM es vulnerable a una inyección SQL dentro de varios métodos de servicios web disponibles en /PC/WebService.asmx.

Esto podría permitir a un atacante remoto realizar consultas SQL como usuario administrador.

CWE-89: neutralización inadecuada de elementos especiales usados en un comando SQL (inyección SQL).

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración

Listado de referencias