PT-2025-26544 · Ruoyi-Ai · Ruoyi-Ai
Tr0E
·
Publicado
2025-06-22
·
Atualizado
2025-08-26
·
CVE-2025-6466
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas:
ageerle ruoyi-ai versão 2.0.0
Descrição:
Uma vulnerabilidade crítica foi encontrada na função
speechToTextTranscriptionsV2/upload do arquivo ruoyi-modules/ruoyi-system/src/main/java/org/ruoyi/system/service/impl/SseServiceImpl.java. A manipulação do argumento File resulta em upload sem restrições. O ataque pode ser lançado remotamente.Recomendações:
Para a versão 2.0.0, atualize para a versão 2.0.1 para corrigir esta vulnerabilidade. Como solução temporária, considere restringir o acesso à função
speechToTextTranscriptionsV2/upload até que a atualização seja aplicada.Exploit
Correção
Improper Access Control
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ruoyi-Ai