CVE-2025-0328

Nome do Software Vulnerável e Versões Afetadas Versões do KaiYuanTong ECT Platform até a 2.0.0

Descrição Um problema crítico foi encontrado no componente manipulador de solicitações HTTP POST do software afetado, especificamente no arquivo /public/server/runCode.php. A manipulação do argumento code leva à injeção de comandos. Esta vulnerabilidade pode ser explorada remotamente. O exploit foi divulgado publicamente e o fornecedor foi contatado sobre esta divulgação, mas não respondeu.

Recomendações Para as versões do KaiYuanTong ECT Platform até a 2.0.0, como medida de contorno temporária, considere desativar o arquivo runCode.php ou restringir o acesso ao componente manipulador de solicitações HTTP POST até que um patch esteja disponível. Evite utilizar o argumento code no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.