漏洞标题: Stored Cross-Site Scripting (XSS) in WinPlus by Informática del Este 发布日期: 2025-10-11 标识符: INCIBE-2025-0640 重要性: 5 - 严重 影响的资源: WinPlus version 24.11.27 描述: INCIBE协调发布了一系列影响WinPlus v24.11.27的漏洞,涉及人力资源管理、时间跟踪、访问控制等功能。这些漏洞由Antonio Moreno Gómez发现。 CVE编号与详情: - CVE-2025-41346: CVSS v4.0 9.3, 错误的授权控制允许攻击者通过简单的数字ID冒充其他用户。 - CVE-2025-41347: CVSS v4.0 8.7, 无限上传漏洞允许上传危险文件类型。 - CVE-2025-41348: CVSS v4.0 8.7, SQL注入漏洞。 - CVE-2025-41349 y CVE-2025-41350: CVSS v4.0 5.1, 存储型跨站脚本漏洞。 解决方案: 目前未报告解决方案。 CVE表格: 相关链接: Software de Control Horario - Informática del Este