CVE-2025-3405

Nome do Software Vulnerável e Versões Afetadas: FCJ Venture Builder appclientefiel versão 3.0.27

Descrição: Uma vulnerabilidade foi encontrada no FCJ Venture Builder appclientefiel, afetando uma funcionalidade desconhecida do arquivo /rest/cliente/ObterPedido/ do componente HTTP GET Request Handler. A manipulação do argumento ORDER ID leva ao controle inadequado de identificadores de recursos. O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma.

Recomendações: Como solução temporária, considere desativar a função HTTP GET Request Handler até que uma correção esteja disponível. Restrinja o acesso ao endpoint /rest/cliente/ObterPedido/ para minimizar o risco de exploração. Evite usar o argumento ORDER ID no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.