CVE-2025-60645

Nome do Software Vulnerável e Versões Afetadas xxl-api versão 1.3.0

Descrição Existe uma vulnerabilidade de Cross-Site Request Forgery (CSRF) na versão 1.3.0 do xxl-api. Isso permite que atacantes adicionem usuários ao módulo de gerenciamento enviando uma requisição GET especialmente construída. O ataque se aproveita da falta de proteção CSRF adequada. O endpoint da API utilizado no ataque não é especificado. O parâmetro vulnerável não é especificado. A função envolvida no ataque não é especificada.

Recomendações Aplique atualizações para corrigir o problema na versão 1.3.0 do xxl-api. Como medida temporária, considere implementar mecanismos de proteção CSRF, como tokens sincronizadores, para mitigar o risco de exploração.