JVNDB-2025-024529

Quipuxにおける複数の脆弱性

Quipux バージョン 4.0.1 から e1774ac までに、認証済みユーザーが次のパラメータを使用して SQL インジェクション攻撃を実行できる脆弱性があります。対象のパラメータは busqueda/busqueda.php の txt_depe_codi、busqueda/busqueda.php の txt_usua_codi、anexos_lista.php の radi_temp、Administracion/listas/formArea_ajax.php の codDepe、Administracion/listas/formDepeHijo_ajax.php の codDepe、Administracion/listas/formDepePadre_ajax.php の codInst、asociar_documentos/asociar_borrar_referencia.php の radi_nume、asociar_documentos/asociar_documento_buscar_query.php の radi_nume、asociar_documentos/asociar_documento_grabar.php の txt_radi_nume、asociar_documentos/asociar_documento の radi_nume、radicacion/buscar_usuario.php の buscar_tipo、radicacion/formArea_ajax.php の codDepe、radicacion/formDepeHijo_ajax.php の codDepe、radicacion/formDepePadre_ajax.php の codInst、radicacion/ver_datos_usuario.php の destinatorio、reportes/reporte_TraspasoDocFisico.php の verrad、tx/datos_imprimir_sobre.php の txt_usua_codi、tx/datos_imprimir_sobre.php の nume_radi_temp、tx/revertir_firma_digital_grabar.php の txt_radi_nume、tx/tx_borrar_opcion_imp.php の codigo_opc、tx/tx_realizar_tx.php の txt_radicados、tx/tx_seguridad_documentos.php の txt_radicados、および uploadFiles/cargar_doc_digitalizado_paginador.php の txt_depe_codi です。これらのパラメータが悪用されることで SQL インジェクションが発生します。

Quipux

• Quipux 4.0.1

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Seguridad Digital EC

• Seguridad Digital EC : https://seguridaddigital.ec/research/20251101/report-20251101.en.pdf

1. インジェクション(CWE-74) [その他]
2. SQLインジェクション(CWE-89) [その他]

1. CVE-2025-55343

1. National Vulnerability Database (NVD) : CVE-2025-55343

• [2026年01月13日]
    掲載