Sanlang

**Nome do software vulnerável e versões afetadas** RuoYi versão 4.7.2 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de CSV. Essa vulnerabilidade pode ser explorada quando uma vítima abre um arquivo de log .xlsx através do ruoyi-admin. **Recomendações** Para a versão 4.7.2 do RuoYi, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** RuoYi versão 4.7.2 **Descrição** A vulnerabilidade permite que um usuário sem permissão redefina a senha de outro usuário por meio de um endpoint de API específico. Especificamente, o usuário `test1` não tem permissão para redefinir a senha do usuário `test3` pela interface WebUI, mas pode fazê-lo por meio do endpoint de API “/system/user/resetPwd”. **Recomendações** Para a versão 4.7.2 do RuoYi, como solução temporária, considere restringir o acesso ao endpoint da API “/system/user/resetPwd” para impedir redefinições de senha não autorizadas. Além disso, revise e ajuste as configurações de permissão para garantir que apenas usuários autorizados possam redefinir senhas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.