CVE-2025-59920

When hours are entered in time@work, version 7.0.5, it performs a query to display the projects assigned to the user. If the query URL is copied and opened in a new browser window, the ‘IDClient’ parameter is vulnerable to a blind authenticated SQL injection. If the request is made with the TWAdmin user with the sysadmin role enabled, exploiting the vulnerability will allow commands to be executed on the system; if the user does not belong to the sysadmin role, they will still be able to query data from the database.
CVSS

No CVSS.

Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) Cuando se introducen horas en time@work, versión 7.0.5, realiza una consulta para mostrar los proyectos asignados al usuario. Si la URL de la consulta se copia y se abre en una nueva ventana del navegador, el parámetro 'IDClient' es vulnerable a una inyección SQL ciega autenticada. Si la solicitud se realiza con el usuario TWAdmin con el rol de sysadmin habilitado, explotar la vulnerabilidad permitirá ejecutar comandos en el sistema; si el usuario no pertenece al rol de sysadmin, aún podrá consultar datos de la base de datos.

18 Feb 2026, 14:16

Type Values Removed Values Added
New CVE

Information

Published : 2026-02-18 14:16

Updated : 2026-06-17 09:46


NVD link : CVE-2025-59920

Mitre link : CVE-2025-59920

CVE.ORG link : CVE-2025-59920


JSON object : View

Products Affected

No product.

CWE
CWE-89

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')