CVE-2025-11139

Nome do Software Vulnerável e Versões Afetadas Versões do Bjskzy Zhiyou ERP anteriores à 11.0

Descrição Existe uma vulnerabilidade de path traversal no Bjskzy Zhiyou ERP. A função uploadStudioFile dentro do componente com.artery.form.services.FormStudioUpdater é afetada. A manipulação do argumento filepath pode levar a um path traversal. A exploração remota é possível, e o exploit foi divulgado publicamente. O fornecedor foi notificado, mas não respondeu.

Recomendações Atualize o Bjskzy Zhiyou ERP para uma versão superior à 11.0. Como medida temporária (workaround), restrinja o acesso à função uploadStudioFile até que um patch esteja disponível.