CVE-2025-34039

Nome do Software Vulnerável e Versões Afetadas: Yonyou UFIDA NC versões 6.5 e anteriores

Descrição: Existe uma vulnerabilidade de injeção de código devido à exposição do servlet de teste BeanShell (bsh.servlet.BshServlet) sem controles de acesso adequados, permitindo que atacantes remotos não autenticados executem código Java arbitrário através do parâmetro bsh.script. Isso pode ser explorado para executar comandos do sistema e, finalmente, obter controle total sobre o servidor alvo. A questão tem origem em um componente JAR de terceiros incluído na aplicação, e o servlet está acessível sem autenticação nas instalações vulneráveis.

Recomendações: Para as versões 6.5 e anteriores do Yonyou UFIDA NC, considere desativar o bsh.servlet.BshServlet até que um patch esteja disponível pela Yonyou para prevenir a exploração. Restrinja o acesso ao servlet vulnerável para minimizar o risco de execução de código arbitrário. Evite utilizar o parâmetro bsh.script no endpoint de API afetado até que a questão seja resolvida.