关键信息 发布日期: 2025年9月18日 标识符: INCIBE-2025-0505 重要性: 4 - 高 影响资源 Portal del Empleado, 版本低于3.98.0 描述 INCIbe协调发布了两个漏洞:一个高严重性和一个中等严重性,影响Summar Software的Portal del Empleado。这些漏洞由Pedro Gabaldón Juliá、Javier Medina Munuera、Antonio José Gálvez Sánchez、Alejandro Barrio Andrés和Alvaro Piñero Laorden发现。 漏洞详情 CVE-2025-40677: CVSS v4.0 基础分数: 8.7 - SQL注入漏洞,允许攻击者通过发送POST请求并使用参数“ctl00$ContentPlaceHolder1$FiltroNombre”在“/MemberPages/quienesquien.aspx”中检索、创建、更新和删除数据库。 CVE-2025-40678: CVSS v4.0 基础分数: 5.3 - 危险文件类型的无限制上传漏洞,允许攻击者通过发送POST请求并使用参数“ctl00$ContentPlaceHolder1$fAdjunto”在“/MemberPages/nrf_absentismo.aspx”中上传危险文件类型。 解决方案 这些漏洞已在版本3.98.0中由Summar Software团队修复。