CVE-2025-2196

Nome do Software Vulnerável e Versões Afetadas: MRCMS versão 3.1.2

Descrição: Uma vulnerabilidade foi encontrada na função upload do arquivo "/admin/file/upload.do" do componente org.marker.mushroom.controller.FileController. A manipulação do argumento path resulta em cross-site scripting. O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma.

Recomendações: Para a versão 3.1.2 do MRCMS, como medida temporária, considere desabilitar a função upload do arquivo /admin/file/upload.do até que um patch esteja disponível. Restrinja o acesso ao componente org.marker.mushroom.controller.FileController para minimizar o risco de exploração. Evite utilizar o argumento path no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.