关键漏洞信息 漏洞概述 发布日期: 2025年10月14日 标识符: INCIBE-2025-0559 重要性: 5 - 严重 受影响资源 Exito, 8.0版本 SISTICK, 7.2版本 描述 INCIBE协调发布了四个漏洞,其中两个为严重级别,一个为高危级别,一个为中等级别,影响Sergestec的Exito和SISTICK信息管理软件。这些漏洞由Ignacio Aldarabi发现。 漏洞详情及CVSS评分 CVE-2025-41018 和 CVE-2025-41019: SQL注入,CVSS v4.0: 9.3 CVE-2025-41020: 不安全直接对象引用(IDOR),CVSS v4.0: 7.1 CVE-2025-41021: 存储型跨站脚本(XSS),CVSS v4.0: 5.1 解决方案 目前尚未报告解决方案。 详细信息 CVE-2025-41018: Exito v8.0中的SQL注入,通过 中的 参数。 CVE-2025-41019: SISTICK v7.2中的SQL注入,通过 中的 参数。 CVE-2025-41020: Exito v8.0中的IDOR漏洞,通过 中的 参数访问其他客户数据。 CVE-2025-41021: Exito v8.0中的存储型XSS,通过 中的 参数。