PT-2025-45156 · Quipux · Quipux

Publicado

2025-11-05

·

Atualizado

2026-01-09

·

CVE-2025-55343

CVSS v3.1

9.9

Crítica

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Versões do Quipux 4.0.1 até e1774ac
Descrição As versões do Quipux 4.0.1 até e1774ac estão suscetíveis a ataques de injeção de SQL. Usuários autenticados podem explorar esta falha através de múltiplos scripts PHP e parâmetros. Especificamente, os seguintes endpoints da API e variáveis são afetados:
  • /busqueda/busqueda.php com os parâmetros txt depe codi e txt usua codi
  • /anexos lista.php com o parâmetro radi temp
  • /Administracion/listas/formArea ajax.php com o parâmetro codDepe
  • /Administracion/listas/formDepeHijo ajax.php com o parâmetro codDepe
  • /Administracion/listas/formDepePadre ajax.php com o parâmetro codInst
  • /asociar documentos/asociar borrar referencia.php com o parâmetro radi nume
  • /asociar documentos/asociar documento buscar query.php com o parâmetro radi nume
  • /asociar documentos/asociar documento grabar.php com o parâmetro txt radi nume
  • /asociar documentos/asociar documento com o parâmetro radi nume
  • /radicacion/buscar usuario.php com o parâmetro buscar tipo
  • /radicacion/formArea ajax.php com o parâmetro codDepe
  • /radicacion/formDepeHijo ajax.php com o parâmetro codDepe
  • /radicacion/formDepePadre ajax.php com o parâmetro codInst
  • /radicacion/ver datos usuario.php com o parâmetro destinatorio
  • /reportes/reporte TraspasoDocFisico.php com o parâmetro verrad
  • /tx/datos imprimir sobre.php com os parâmetros txt usua codi e nume radi temp
  • /tx/revertir firma digital grabar.php com o parâmetro txt radi nume
  • /tx/tx borrar opcion imp.php com o parâmetro codigo opc
  • /tx/tx realizar tx.php com o parâmetro txt radicados
  • /tx/tx seguridad documentos.php com o parâmetro txt radicados
  • /uploadFiles/cargar doc digitalizado paginador.php com o parâmetro txt depe codi
Recomendações As versões do Quipux 4.0.1 até e1774ac estão afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Special Elements Injection

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-89

Identificadores relacionados

CVE-2025-55343

Produtos afetados

Quipux