关键信息 标题 [Update 08/07/2025] Multiple vulnerabilities in Quiter Gateway by Quiter 发布日期 30/06/2025 标识符 INCIBE-2025-0349 重要性 5 - Critical 影响资源 Quiter Gateway (Java WAR on Apache Tomcat), versions below 4.7.0. 描述 INCIBE协调发布了11个漏洞:7个严重程度和4个中等严重程度,影响Quiter的Quiter Gateway,这是一个用于汽车经销商和车间管理的完整软件解决方案。这些漏洞由David Carrion Poza发现。 漏洞详情 CVE-2025-40711 through CVE-2025-40717: SQL注入漏洞,允许攻击者检索、创建、更新和删除数据库。 CVE-2025-40718: 反射型跨站脚本(XSS)漏洞,允许攻击者在受害者的浏览器中执行JavaScript代码。 CVE-2025-40719: 错误处理漏洞,允许攻击者发送恶意负载以生成包含敏感信息的错误消息。 解决方案 Quiter已发布修复所有11个CVE的版本: - QuiterGatewayWeb 4.7.0 (f6e350748cfd4b43f566c80d0d140254375c23a) - QMSCliente 1.0.15 (f19e69fb8d8be5761c372f631cb029328144e88) - QISClient 2.0.1-SNAPSHOT (455a037d22e87178701c9fd9d8ac5f64dbad41) Quiter已将修复版本应用于所有受影响的客户。 报告的漏洞修复已通过外部审计师(Bullhost)验证。