CRITICAL🇬🇧 English

CVE-2025-55343

SQL Injection w Quipux — wielokrotne punkty wstrzyknięcia dla uwierzytelnionych użytkowników

CVSS 9.9v3.1pub. 2025-11-05upd. 2026-01-09

Quipux w wersjach od 4.0.1 do commitu e1774ac zawiera krytyczne podatności typu SQL injection dostępne dla uwierzytelnionych użytkowników w co najmniej 24 różnych endpointach aplikacji. Podatność pozwala atakującemu na manipulację zapytaniami bazodanowymi, co zagraża poufności, integralności i dostępności całego systemu.

Pokaż oryginał (EN)

Quipux 4.0.1 through e1774ac allows authenticated users to conduct SQL injection attacks via busqueda/busqueda.php txt_depe_codi, busqueda/busqueda.php txt_usua_codi, anexos_lista.php radi_temp, Administracion/listas/formArea_ajax.php codDepe, Administracion/listas/formDepeHijo_ajax.php codDepe, Administracion/listas/formDepePadre_ajax.php codInst, asociar_documentos/asociar_borrar_referencia.php radi_nume, asociar_documentos/asociar_documento_buscar_query.php radi_nume, asociar_documentos/asociar_documento_grabar.php txt_radi_nume, asociar_documentos/asociar_documento radi_nume, radicacion/buscar_usuario.php buscar_tipo, radicacion/formArea_ajax.php codDepe, radicacion/formDepeHijo_ajax.php codDepe, radicacion/formDepePadre_ajax.php codInst, radicacion/ver_datos_usuario.php destinatorio, reportes/reporte_TraspasoDocFisico.php verrad, tx/datos_imprimir_sobre.php txt_usua_codi, tx/datos_imprimir_sobre.php nume_radi_temp, tx/revertir_firma_digital_grabar.php txt_radi_nume, tx/tx_borrar_opcion_imp.php codigo_opc, tx/tx_realizar_tx.php txt_radicados, tx/tx_seguridad_documentos.php txt_radicados, or uploadFiles/cargar_doc_digitalizado_paginador.php txt_depe_codi.

🤖 Analiza AI
Jak działa

Uwierzytelniony użytkownik może wstrzykiwać złośliwe fragmenty kodu SQL poprzez niezabezpieczone parametry wejściowe (m.in. txt_depe_codi, txt_usua_codi, radi_temp, codDepe, radi_nume, buscar_tipo, txt_radicados i inne) w licznych plikach PHP aplikacji Quipux. Brak odpowiedniej walidacji i sanityzacji tych parametrów powoduje, że dane wejściowe są bezpośrednio włączane do zapytań SQL wykonywanych po stronie serwera bazy danych. Zgodnie z klasyfikacją CWE-74 i CWE-89 jest to podatność na injection wynikająca z braku neutralizacji danych w zapytaniach SQL.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych, modyfikować lub usuwać dane, a w zależności od konfiguracji serwera bazy danych — potencjalnie wykonywać polecenia systemowe, co w konsekwencji może prowadzić do pełnego przejęcia systemu. Wysoki zakres naruszenia (Scope: Changed) oznacza, że skutki mogą wychodzić poza sam komponent aplikacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się aktualizację do wersji wolnej od podatności opublikowanej przez producenta pod adresem https://minka.gob.ec/quipux-comunitario/quipux-comunitario. Do czasu wdrożenia poprawki należy rozważyć ograniczenie dostępu do podatnych endpointów na poziomie firewall lub serwera WWW oraz ścisłe monitorowanie logów pod kątem anomalnych zapytań SQL.

Kogo dotyczy

Quipux w wersjach od 4.0.1 do commitu e1774ac (włącznie)

Uwagi

Raport techniczny dotyczący podatności został opublikowany przez seguridaddigital.ec w dniu 2025-11-01 i jest dostępny pod adresem https://seguridaddigital.ec/research/20251101/report-20251101.en.pdf. Podatność dotyczy oprogramowania Quipux — systemu zarządzania dokumentami używanego m.in. w instytucjach publicznych w Ekwadorze.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Quipux

    APP
    Quipux
    4.0.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-55341MEDIUM6.5ten sam produkt

Cross Site Scripting vulnerability in Quipux 4.0.1 through e1774ac allows anexos/anexos_nuevo.php asocImgRad.

CVE-2025-55342MEDIUM5.3ten sam produkt

Quipux 4.0.1 through e1774ac allows enumeration of usernames, and accessing the Ecuadorean identification numb...