CVE-2025-66736

Nome do Software Vulnerável e Versões Afetadas youlai-boot versão 2.21.1

Descrição O software apresenta uma vulnerabilidade de bypass de autorização devido a um controle de acesso incorreto. A função importUsers dentro do componente SysUserController.java não verifica as permissões do usuário atual. Isso permite que usuários comuns importem dados de usuário para o banco de dados, contornando as restrições de autorização previstas. A função vulnerável é importUsers.

Recomendações Garanta que a função importUsers em SysUserController.java inclua verificações de permissão apropriadas para validar a identidade e a autorização do usuário antes de permitir operações de importação de dados.