CVE-2025-1843

Nome do Software Vulnerável e Versões Afetadas Versões do Mini-Tmall até 20250211

Descrição Foi encontrado um problema crítico no Mini-Tmall, afetando a função select do arquivo com/xq/tmall/dao/ProductMapper.java. A manipulação do argumento orderBy resulta em injeção de SQL. O ataque pode ser iniciado remotamente. O exploit foi divulgado ao público e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma.

Recomendações Para versões do Mini-Tmall até 20250211, como medida paliativa temporária, considere restringir o uso do argumento orderBy na função select do arquivo ProductMapper.java para minimizar o risco de exploração via injeção de SQL. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.