CVE-2025-14694

Nome do Software Vulnerável e Versões Afetadas Versões do ketr JEPaaS até a 7.2.8

Descrição Existe uma falha no ketr JEPaaS que permite injeção de SQL remota. O problema está localizado na função readAllPostil dentro do arquivo /je/postil/postil/readAllPostil. A manipulação do argumento keyWord pode desencadear a injeção. O exploit para esta falha foi divulgado publicamente e o fornecedor foi notificado, mas não respondeu.

Recomendações Versões anteriores à 7.2.8 devem ser atualizadas. Como solução temporária, considere restringir o acesso à função readAllPostil até que um patch esteja disponível. Evite usar o parâmetro keyWord no endpoint da API afetado até que o problema seja resolvido.