Yaoqishan · Yaoqishan · CVE-2025-2112
**Nome do Software Vulnerável e Versões Afetadas**
user-xiangpeng yaoqishan versões até a47fec4a31cbd13698c592dfdc938c8824dd25e4
**Descrição**
Uma vulnerabilidade crítica foi encontrada na função `getMediaLisByFilter` do arquivo `cn/javaex/yaoqishan/service/media info/MediaInfoService.java`. A manipulação do argumento `typeId` leva à injeção de SQL. O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. Este produto adota a abordagem de lançamentos contínuos (rolling releases) para fornecer entrega contínua e, portanto, detalhes de versão para lançamentos afetados e atualizados não estão disponíveis. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de nenhuma forma.
**Recomendações**
Como uma medida temporária (workaround), considere desativar a função `getMediaLisByFilter` até que um patch esteja disponível. Restrinja o acesso ao arquivo `MediaInfoService.java` para minimizar o risco de exploração. Evite usar o argumento `typeId` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.