CVE-2025-3412

Nome do Software Vulnerável e Versões Afetadas: mymagicpower AIAS 20250308

Descrição: Um problema crítico foi encontrado no mymagicpower AIAS, afetando uma função desconhecida do arquivo 2 training platform/train-platform/src/main/java/top/aias/training/controller/InferController.java. A manipulação do argumento url leva a uma falsificação de requisição no lado do servidor (SSRF), permitindo ataques remotos. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado sobre esta divulgação, mas não respondeu.

Recomendações: Como solução temporária, considere restringir o acesso à função vulnerável InferController.java até que um patch esteja disponível. Evite usar o argumento url no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.