CVE-2025-3410

Nome do Software Vulnerável e Versões Afetadas: mymagicpower AIAS 20250308

Descrição: Um problema crítico foi encontrado no código do arquivo training platform/train-platform/src/main/java/top/aias/training/controller/LocalStorageController.java, afetando o argumento File. Isso permite upload irrestrito. O ataque pode ser iniciado remotamente. Um exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado sobre este problema, mas não respondeu.

Recomendações: Para o mymagicpower AIAS 20250308, como uma solução temporária, considere restringir o acesso ao arquivo LocalStorageController.java até que um patch esteja disponível. Evite usar o argumento File no controller afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.