CVE-2025-40677 on 办公AI智能小助手 https://blog.qife122.com/tags/cve-2025-40677/ Recent content in CVE-2025-40677 on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 03:19:52 +0800 Summar员工门户3.98.0认证SQL注入漏洞深度分析 https://blog.qife122.com/p/summar%E5%91%98%E5%B7%A5%E9%97%A8%E6%88%B73.98.0%E8%AE%A4%E8%AF%81sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%88%86%E6%9E%90/ Mon, 12 Jan 2026 03:19:52 +0800 https://blog.qife122.com/p/summar%E5%91%98%E5%B7%A5%E9%97%A8%E6%88%B73.98.0%E8%AE%A4%E8%AF%81sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%88%86%E6%9E%90/ <h1 id="summar员工门户-3980---认证sql注入">Summar员工门户 3.98.0 - 认证SQL注入</h1> <p><strong>风险等级</strong>: 中等 <strong>本地利用</strong>: 否 <strong>远程利用</strong>: 是 <strong>CVE编号</strong>: CVE-2025-40677 <strong>CWE编号</strong>: CWE-89 <strong>Google搜索语法</strong>: <code>inurl:&quot;/MemberPages/quienesquien.aspx&quot;</code></p> <h2 id="漏洞详情">漏洞详情</h2> <p><strong>漏洞标题</strong>: Summar员工门户 3.98.0 - 认证SQL注入 <strong>发现日期</strong>: 2025年9月22日 <strong>漏洞作者</strong>: Peter Gabaldon - <a href="https://pgj11.com/">https://pgj11.com/</a> <strong>厂商主页</strong>: <a href="https://www.summar.es/">https://www.summar.es/</a> <strong>软件链接</strong>: <a href="https://www.summar.es/software-recursos-humanos/">https://www.summar.es/software-recursos-humanos/</a> <strong>影响版本</strong>: 低于 3.98.0 <strong>测试环境</strong>: Kali Linux <strong>漏洞描述</strong>: Summar软件公司的&quot;Portal del Empleado&quot;(员工门户)存在SQL注入漏洞。该漏洞允许攻击者通过向<code>/MemberPages/quienesquien.aspx</code>发送POST请求,利用参数<code>ctl00$ContentPlaceHolder1$filtroNombre</code>,实现对数据库的检索、创建、更新和删除操作。</p>