CVE-2025-2707

Nome do Software Vulnerável e Versões Afetadas zhijiantianya ruoyi-vue-pro versão 2.4.1

Descrição Um problema crítico foi identificado no arquivo /app-api/infra/file/upload do componente Front-End Store Interface. A manipulação do argumento path resulta em path traversal. O ataque pode ser lançado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu.

Recomendações Para a versão 2.4.1, como solução temporária (workaround), considere restringir o acesso ao endpoint /app-api/infra/file/upload até que um patch esteja disponível. Evite usar o argumento path no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.