CVE-2025-7108

Nome do Software Vulnerável e Versões Afetadas: risesoft-y9 Digital-Infrastructure versões anteriores a 9.6.8

Descrição: Um problema crítico afeta a função deleteFile no arquivo /Digital-Infrastructure-9.6.7/y9-digitalbase-webapp/y9-module-filemanager/risenet-y9boot-webapp-filemanager/src/main/java/net/risesoft/y9public/controller/Y9FileController.java. A manipulação do argumento fullPath leva a path traversal. Este problema pode ser explorado remotamente. Um exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antes desta divulgação, mas não respondeu.

Recomendações: Para versões do risesoft-y9 Digital-Infrastructure anteriores a 9.6.8, como solução temporária, considere desativar a função deleteFile no arquivo Y9FileController.java até que um patch esteja disponível. Restrinja o acesso ao módulo filemanager vulnerável para minimizar o risco de exploração. Evite usar o argumento fullPath na função afetada até que o problema seja resolvido.