CVE-2025-6533

Nome do Software Vulnerável e Versões Afetadas: xxyopen/201206030 novel-plus versões até 5.1.3

Descrição: Uma falha crítica foi encontrada na função ajaxLogin do arquivo LoginController.java, parte do componente CATCHA Handler. Esta falha resulta em bypass de autenticação através de captura e replay, permitindo ataques remotos. A complexidade do ataque é alta e a exploração é difícil. O exploit foi divulgado publicamente.

Recomendações: Para versões até 5.1.3, como medida paliativa temporária, considere desativar a função ajaxLogin até que um patch esteja disponível. Restrinja o acesso ao componente CATCHA Handler para minimizar o risco de exploração. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.