CVE-2025-8516

Nome do Software Vulnerável e Versões Afetadas Kingdee Cloud-Starry-Sky Enterprise Edition versões anteriores à 8.3

Descrição Existe um problema de segurança no Kingdee Cloud-Starry-Sky Enterprise Edition. A função BaseServiceFactory.getFileUploadService.deleteFileAction dentro do arquivo K3CloudBBCMallSiteWEB-INFlibKingdee.K3.O2O.Base.WebApp.jar!kingdeek3o2obasewebappactionFileUploadAction.class do componente IIS-K3CloudMiniApp está afetada. A manipulação do argumento filePath pode levar a uma condição de path traversal. Este problema pode ser explorado remotamente. O exploit foi divulgado publicamente e pode ser utilizado.

Recomendações Instale o patch de segurança fornecido pelo sistema Starry Sky, com as soluções específicas sendo: i) Adicionar autenticação à interface vulnerável CMKAppWebHandler.ashx; ii) Remover a função de leitura de arquivo. Como medida de curto prazo, desative temporariamente o acesso à rede externa ao Kingdee Cloud Galaxy Retail System ou configure uma whitelist de IP para controle de acesso.