PT-2025-54229 · Unknown · Newbee-Mall-Plus
Zyhsec
·
Publicado
2025-12-30
·
Atualizado
2025-12-30
·
CVE-2025-15360
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
newbee-mall-plus versão 2.0.0
Descrição
Existe uma falha no newbee-mall-plus versão 2.0.0 que permite upload de arquivos sem restrições. Este problema está localizado na função
Upload do arquivo src/main/java/ltd/newbee/mall/controller/common/UploadController.java, afetando especificamente o componente da Página de Edição de Informações do Produto. A vulnerabilidade é acionada pela manipulação do argumento File, permitindo que atacantes remotos façam upload de arquivos sem restrições. Os detalhes deste problema foram divulgados publicamente. O fornecedor foi informado sobre esta divulgação, mas não forneceu uma resposta.Recomendações
Aplique uma correção à função
Upload em src/main/java/ltd/newbee/mall/controller/common/UploadController.java para restringir tipos e tamanhos de upload de arquivos.Exploit
Correção
Improper Access Control
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Newbee-Mall-Plus