CVE-2025-2116

Nome do Software Vulnerável e Versões Afetadas Beijing Founder Electronics Founder Enjoys All-Media Acquisition and Editing System versão 3.0

Descrição Uma vulnerabilidade foi encontrada no componente Manipulador de Protocolo de Arquivo do sistema, especificamente no arquivo /newsedit/newsedit/xy/imageProxy.do. A manipulação do argumento xyImgUrl resulta em falsificação de solicitação do lado do servidor (SSRF). O ataque pode ser lançado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma.

Recomendações Como solução temporária, considere restringir o acesso ao endpoint /newsedit/newsedit/xy/imageProxy.do até que um patch esteja disponível. Evite usar o argumento xyImgUrl no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.