CVE-2025-3856

Nome do Software Vulnerável e Versões Afetadas xxyopen Novel-Plus versão 5.1.0

Descrição Um problema crítico afeta a função searchByPage do arquivo /book/searchByPage. A manipulação do argumento sort resulta em Injeção de SQL. É possível iniciar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado com antecedência sobre esta divulgação, mas não respondeu de forma alguma.

Recomendações Como medida de contorno temporária, considere desativar a função searchByPage até que uma correção esteja disponível. Restrinja o acesso ao arquivo /book/searchByPage para minimizar o risco de exploração. Evite utilizar o argumento sort no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.