CVE-2025-55948

Nome do Software Vulnerável e Versões Afetadas yzcheng90 X-SpringBoot versão 6.0

Descrição O problema decorre de uma implementação de controle de acesso baseado em função (RBAC) que depende tanto de sistemas de menu no frontend quanto de tabelas de permissão no backend, carecendo de sincronização atômica entre eles. Uma dessincronização ocorre quando atualizações no menu do frontend, como a revogação de privilégios, não se refletem imediatamente na tabela de permissões do backend. Isso permite que atacantes contornem restrições da interface do usuário (UI) e acessem diretamente funções privilegiadas por meio de ferramentas como o Postman, enviando solicitações de API para endpoints que deveriam ser inacessíveis. Os atacantes podem realizar ações como criar contas de usuário com altas permissões, acessar dados sensíveis e executar comandos de nível administrativo. Os endpoints de API vulneráveis são acessados diretamente, contornando os controles de acesso previstos. Os parâmetros ou variáveis vulneráveis não são mencionados explicitamente.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.