CVE-2025-0331

Nome do Software Vulnerável e Versões Afetadas Versões do YunzMall até a 2.4.2

Descrição Foi identificada uma questão crítica na função changePwd do arquivo /app/platform/controllers/ResetpwdController.php do componente Manipulador de Requisição HTTP POST. A manipulação do argumento pwd resulta em uma recuperação de senha fraca. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de nenhuma forma.

Recomendações Para versões até a 2.4.2, como solução temporária, considere desativar a função changePwd até que um patch esteja disponível. Restrinja o acesso ao arquivo /app/platform/controllers/ResetpwdController.php para minimizar o risco de exploração. Evite usar o argumento pwd no Manipulador de Requisição HTTP POST afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.