CVE-2025-32950

Nome do Software Vulnerável e Versões Afetadas Versões do Jmix de 1.0.0 a 1.6.1 Versões do Jmix de 2.0.0 a 2.3.4

Descrição A vulnerabilidade permite que atacantes manipulem o parâmetro fileRef para acessar arquivos no sistema onde a aplicação Jmix está implantada, desde que o servidor de aplicação possua as permissões necessárias. Isso pode ser realizado modificando-se o FileRef diretamente no banco de dados ou fornecendo um valor malicioso no parâmetro fileRef do endpoint "/files" da API REST genérica.

Recomendações Para as versões de 1.0.0 a 1.6.1, atualize para a versão 1.6.2. Para as versões de 2.0.0 a 2.3.4, atualize para a versão 2.4.0. Como solução temporária, considere restringir o acesso ao endpoint /files da API REST genérica até que um patch esteja disponível. Evite utilizar valores maliciosos no parâmetro fileRef até que o problema seja resolvido.