一、 漏洞 CVE-2025-41030 基础信息
漏洞信息
# T-INNOVA Deporsite 多个漏洞
### 概述
Deporsite by T-INNOVA 存在**缺乏授权验证**漏洞,攻击者无需认证即可利用该漏洞获取其他用户信息。
### 影响版本
未明确具体版本,但漏洞存在于包含以下请求路径的版本中:
```
/ajax/TInnova_v2/Integrantes_Recurso_v2_1/llamadaAjax/buscarPersona
```
### 漏洞细节
攻击者可通过发送构造的 GET 请求,利用 `dni` 参数(通常为身份证号)直接查询其他用户的信息。该请求未进行有效的身份验证或权限校验。
请求示例:
```
GET /ajax/TInnova_v2/Integrantes_Recurso_v2_1/llamadaAjax/buscarPersona?dni=<target_dni>
```
### 影响
- **未授权访问用户信息**:攻击者可任意查询系统中用户的敏感数据,如姓名、身份证对应信息等。
- **隐私泄露**:可能导致大规模用户隐私数据被非法获取。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Multiple vulnerabilities in Deporsite by T-INNOVA
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Lack of authorisation in Deporsite by T-INNOVA. This vulnerability allows an unauthenticated attacker to obtain information from other users via GET ‘/ajax/TInnova_v2/Integrantes_Recurso_v2_1/llamadaAjax/buscarPersona’ using the ‘dni’ parameter.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制不正确
来源:美国国家漏洞数据库 NVD
漏洞标题
T-INNOVA Deporsite 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
T-INNOVA Deporsite是T-INNOVA公司的一款应用程序。 T-INNOVA Deporsite存在安全漏洞,该漏洞源于缺少授权,可能导致通过GET请求和dni参数获取其他用户信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-41030 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-41030 的情报信息
四、漏洞 CVE-2025-41030 的评论
暂无评论