CVE-2025-3559

Nome do Software Vulnerável e Versões Afetadas: ghostxbh uzy-ssm-mall versão 1.0.0

Descrição: Uma vulnerabilidade crítica foi encontrada no ghostxbh uzy-ssm-mall, afetando a função ForeProductListController do arquivo /mall/product/0/20. A manipulação do argumento orderBy resulta em uma injeção de SQL. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de nenhuma forma.

Recomendações: Para o ghostxbh uzy-ssm-mall versão 1.0.0, como uma solução alternativa temporária, considere restringir o acesso à função ForeProductListController até que um patch esteja disponível. Evite utilizar o argumento orderBy no endpoint da API afetado até que a questão seja resolvida. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.