CVE-2025-3558

Nome do Software Vulnerável e Versões Afetadas: ghostxbh uzy-ssm-mall versão 1.0.0

Descrição: Uma vulnerabilidade crítica foi encontrada no ghostxbh uzy-ssm-mall, afetando uma parte desconhecida do arquivo /mall/user/uploadUserHeadImage. A manipulação do argumento File resulta em upload sem restrições. É possível iniciar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de nenhuma forma.

Recomendações: Para o ghostxbh uzy-ssm-mall versão 1.0.0, como medida de contorno temporária, considere desabilitar a funcionalidade de upload de arquivos no endpoint /mall/user/uploadUserHeadImage até que uma correção esteja disponível. Restrinja o acesso a este endpoint para minimizar o risco de exploração. Evite utilizar o argumento File no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.