CVE-2025-6761

Nome do Software Vulnerável e Versões Afetadas: Kingdee Cloud-Starry-Sky Enterprise Edition versões 6.x até 9.0

Descrição: Foi identificada uma falha crítica, afetando a função plugin.buildMobilePopHtml do arquivo k3o2oboswebappactionDynamicForm 4 Action.class do componente Freemarker Engine. Esta falha resulta na neutralização inadequada de elementos especiais utilizados em um mecanismo de template, permitindo ataques remotos. O exploit foi divulgado publicamente.

Recomendações: Para o Kingdee Cloud-Starry-Sky Enterprise Edition versões 6.x até 9.0, recomenda-se atualizar o componente afetado, pois a versão corrigida configura o Freemarker como 'ALLOWS NOTHING RESOLVER' para impedir a análise de quaisquer classes.