CVE-2025-3382

Nome do Software Vulnerável e Versões Afetadas joey-zhou xiaozhi-esp32-server-java até a14fe8115842ee42ab5c7a51706b8a85db5200b7

Descrição Uma falha crítica foi identificada no software, afetando a função update do endpoint de API "/api/user/update". A manipulação do argumento state resulta em injeção de SQL. Esta falha pode ser explorada remotamente.

Recomendações Como medida temporária (workaround), considere desativar a função update do endpoint de API "/api/user/update" até que uma correção esteja disponível. Restrinja o acesso ao endpoint de API "/api/user/update" para minimizar o risco de exploração. Evite utilizar o argumento state no endpoint de API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.