CVE-2025-2708

Nome do Software Vulnerável e Versões Afetadas zhijiantianya ruoyi-vue-pro versão 2.4.1

Descrição Uma vulnerabilidade crítica foi encontrada na Interface de Upload de Arquivos do Backend do zhijiantianya ruoyi-vue-pro. Isso afeta uma parte desconhecida do arquivo "/admin-api/infra/file/upload" e permite path traversal através da manipulação do argumento path. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu.

Recomendações Como medida de contorno temporária, considere desabilitar a funcionalidade de upload de arquivos na Interface de Upload de Arquivos do Backend até que um patch esteja disponível. Restrinja o acesso ao endpoint "/admin-api/infra/file/upload" para minimizar o risco de exploração. Evite usar o argumento path no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.