PT-2025-22367 · Kingdee · Kingdee Cloud Galaxy Private Cloud Bbc System
Caichaoxiong
·
Publicado
2025-05-21
·
Atualizado
2025-05-21
·
CVE-2025-5029
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
Kingdee Cloud Galaxy Private Cloud BBC System versões até 9.0 Patch April 2025
Descrição
Foi identificado um problema crítico, afetando a função
BaseServiceFactory.getFileUploadService.deleteFileAction do arquivo fileUpload/deleteFileAction.jhtml no componente File Handler. A manipulação do argumento filePath resulta em path traversal. Este problema pode ser explorado remotamente.Recomendações
Aplique um patch para corrigir este problema nas versões do Kingdee Cloud Galaxy Private Cloud BBC System até 9.0 Patch April 2025. Como solução alternativa temporária, considere restringir o acesso ao arquivo
fileUpload/deleteFileAction.jhtml ou à função BaseServiceFactory.getFileUploadService.deleteFileAction para minimizar o risco de exploração. Evite utilizar o argumento filePath no componente afetado até que o problema seja resolvido.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kingdee Cloud Galaxy Private Cloud Bbc System