Carlos Aguadé

**Name of the Vulnerable Software and Affected Versions** TCMAN GIM version 11 **Description** A missing authentication vulnerability in TCMAN GIM version 11 allows an unauthenticated attacker to access resources such as /frmGestionUser.aspx/GetData, /frmGestionUser.aspx/updateUser, and /frmGestionUser.aspx/DeleteUser. This enables the attacker to access and modify user data. **Recommendations** For TCMAN GIM version 11, as a temporary workaround, consider disabling access to the `/frmGestionUser.aspx/GetData`, `/frmGestionUser.aspx/updateUser`, and `/frmGestionUser.aspx/DeleteUser` endpoints until a patch is available. Restrict access to the user management functionality to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** GIM versão 11 da TCMAN **Descrição** O problema refere-se a vulnerabilidades de injeção de SQL cega baseada em tempo. Essas vulnerabilidades permitem que um atacante recupere, crie, atualize e exclua bancos de dados através do parâmetro `ArbolID` no endpoint da API "/GIMWeb/PC/frmCorrectivosList.aspx". **Recomendações** Para o GIM versão 11 da TCMAN, considere desativar o parâmetro `ArbolID` no endpoint da API "/GIMWeb/PC/frmCorrectivosList.aspx" como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao endpoint da API vulnerável para minimizar o risco de exploração. Evite utilizar o parâmetro `ArbolID` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** TCMAN's GIM versão 11 **Descrição** Vulnerabilidades de injeção de SQL cega baseada em tempo no TCMAN's GIM permitem que um atacante recupere, crie, atualize e exclua bancos de dados através do parâmetro `ArbolID` em "/GIMWeb/PC/frmPreventivosList.aspx". **Recomendações** Para o TCMAN's GIM versão 11, considere desabilitar o parâmetro `ArbolID` no endpoint "/GIMWeb/PC/frmPreventivosList.aspx" como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao endpoint "/GIMWeb/PC/frmPreventivosList.aspx" para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** TCMAN's GIM version 11 **Description** A missing authorization vulnerability in TCMAN's GIM allows an authenticated attacker to access any functionality of the application, even when they are not available through the user interface. To exploit the vulnerability, the attacker must modify the HTTP code of the response from ‘302 Found’ to ‘200 OK’, as well as the hidden fields `hdnReadOnly` and `hdnUserLogin`. **Recommendations** For TCMAN's GIM version 11, consider implementing proper authorization checks to restrict access to unauthorized functionalities. As a temporary workaround, consider monitoring and restricting modifications to the HTTP response code and the hidden fields `hdnReadOnly` and `hdnUserLogin` to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.