CVE-2025-2195

Nome do Software Vulnerável e Versões Afetadas: MRCMS versão 3.1.2

Descrição: Um problema foi encontrado na função rename do arquivo /admin/file/rename.do no componente org.marker.mushroom.controller.FileController. A manipulação do argumento name/path leva a ataques de cross-site scripting. É possível lançar o ataque remotamente. O exploit foi divulgado ao público e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu.

Recomendações: Para a versão 3.1.2 do MRCMS, como solução temporária, considere desativar a função rename do arquivo /admin/file/rename.do até que um patch esteja disponível. Restrinja o acesso ao componente org.marker.mushroom.controller.FileController para minimizar o risco de exploração. Evite usar o argumento name/path no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.