CVE-2025-3214

Nome do Software Vulnerável e Versões Afetadas Versões do JFinal CMS até a 5.2.4

Descrição Uma vulnerabilidade foi encontrada na função engine.getTemplate do arquivo /readTemplate, onde a manipulação do argumento template resulta em path traversal. O ataque pode ser executado remotamente. A existência real desta vulnerabilidade ainda é questionada, com o fornecedor explicando-a como uma funcionalidade em vez de um bug.

Recomendações Para versões até a 5.2.4, como medida temporária de contorno, considere restringir o acesso à função engine.getTemplate para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.