PT-2025-36451 · Jinher Oa · Jinher Oa

Abc_123456

·

Publicado

2025-09-08

·

Atualizado

2026-02-12

·

CVE-2025-10090

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas: Versões do Jinher OA anteriores à 1.3
Descrição: Uma falha foi encontrada no Jinher OA até a versão 1.2. O problema envolve injeção de SQL em uma função desconhecida dentro do arquivo /C6/Jhsoft.Web.departments/GetTreeDate.aspx. A manipulação do parâmetro ID pode desencadear a injeção. O ataque pode ser executado remotamente.
Recomendações: Atualize o Jinher OA para a versão 1.3 ou posterior. Como solução temporária, restrinja o acesso ao arquivo /C6/Jhsoft.Web.departments/GetTreeDate.aspx. Evite utilizar o parâmetro ID no arquivo afetado até que o problema seja resolvido.

Exploit

Correção

Special Elements Injection

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-89

Identificadores relacionados

CVE-2025-10090

Produtos afetados

Jinher Oa