CVE-2025-0392

Nome do Software Vulnerável e Versões Afetadas Guangzhou Huayi Intelligent Technology Jeewms versões até 20241229

Descrição Uma vulnerabilidade crítica de injeção de SQL foi encontrada na função datagridGraph do arquivo /graphReportController.do. A manipulação do argumento store code leva à injeção de SQL. É possível lançar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado.

Recomendações Para as versões do Guangzhou Huayi Intelligent Technology Jeewms até 20241229, atualize para a versão 20250101 para corrigir este problema. Como solução temporária, considere restringir o acesso ao arquivo /graphReportController.do ou desativar a função datagridGraph até que a atualização seja aplicada. Evite usar o argumento store code no endpoint da API afetado até que o problema seja resolvido.