CVE-2025-0558

Nome do Software Vulnerável e Versões Afetadas TDuckCloud tduck-platform versões até a 4.0

Descrição Um problema crítico foi encontrado no TDuckCloud tduck-platform, afetando a função QueryProThemeRequest do arquivo src/main/java/com/tduck/cloud/form/request/QueryProThemeRequest.java. A manipulação do argumento color resulta em injeção de SQL. O ataque pode ser iniciado remotamente. Um exploit foi divulgado publicamente e o fornecedor foi contatado, mas não respondeu.

Recomendações Para versões até a 4.0, como solução temporária, considere desativar a função QueryProThemeRequest até que um patch esteja disponível. Restrinja o acesso ao argumento color na função afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.