CVE-2025-7566

Nome do Software Vulnerável e Versões Afetadas: Versões do jshERP até a 3.5

Descrição: Existe uma vulnerabilidade crítica no jshERP que permite travessia de caminho. A função exportExcelByParam dentro do arquivo /src/main/java/com/jsh/erp/controller/SystemConfigController.java é afetada. A manipulação do parâmetro Title possibilita a exploração desta vulnerabilidade e pode ser iniciada remotamente. O exploit foi divulgado publicamente. O fornecedor foi notificado, mas não respondeu.

Recomendações: Versões anteriores à 3.5: Corrija a vulnerabilidade de travessia de caminho na função exportExcelByParam sanitizando o parâmetro Title.