一、 漏洞 CVE-2025-40678 基础信息
漏洞信息
# Summar Portal 危险文件上传漏洞
## 概述
Portal del Empleado 的文件上传功能存在未限制的漏洞,允许攻击者上传危险类型的文件。
## 影响版本
具体受影响版本未明确说明,但问题出现在页面路径 `/MemberPages/ntf_absentismo.aspx` 中。
## 漏洞细节
攻击者可以通过向指定页面发送包含恶意文件的 POST 请求,利用参数 `cctl00$ContentPlaceHolder1$fuAdjunto` 进行文件上传。系统未对上传的文件类型进行有效限制。
## 漏洞影响
此漏洞可能导致服务器被植入恶意代码,从而造成远程代码执行、数据泄露或其他安全风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Unrestricted upload vulnerability for dangerous file types on Summar Software´s Portal del Empleado
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Unrestricted upload vulnerability for dangerous file types on Summar Software´s Portal del Empleado. This vulnerability allows an attacker to upload a dangerous file type by sending a POST request using the parameter “cctl00$ContentPlaceHolder1$fuAdjunto” in “/MemberPages/ntf_absentismo.aspx”.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
危险类型文件的不加限制上传
来源:美国国家漏洞数据库 NVD
漏洞标题
Summar Portal del Empleado 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Summar Portal del Empleado是西班牙Summar公司的一个员工门户系统。 Summar Portal del Empleado存在代码问题漏洞,该漏洞源于未限制危险文件类型上传,可能导致通过参数cctl00$ContentPlaceHolder1$fuAdjunto上传恶意文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-40678 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-40678 的情报信息
-
标题: Multiple vulnerabilities in Summar Software Employee Portal | INCIBE-CERT | INCIBE -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-40678
四、漏洞 CVE-2025-40678 的评论
暂无评论