CVE-2025-34038

Nome do Software Vulnerável e Versões Afetadas: Fanwei e-cology versões 8.0 e anteriores

Descrição: Existe uma vulnerabilidade de injeção de SQL, permitindo que atacantes não autenticados executem consultas SQL arbitrárias através do endpoint "getdata.jsp". A aplicação passa entrada de usuário não sanitizada do parâmetro sql para uma consulta de banco de dados dentro do método getSelectAllIds(sql, type), que é acessível através do fluxo cmd=getSelectAllId no AjaxManager. Isso poderia potencialmente expor dados sensíveis, como hashes de senha de administrador.

Recomendações: Para as versões 8.0 e anteriores do Fanwei e-cology, considere desabilitar o método getSelectAllIds(sql, type) ou restringir o acesso ao endpoint "getdata.jsp" até que um patch esteja disponível. Adicionalmente, evite usar o parâmetro sql no endpoint afetado para minimizar o risco de exploração.