CVE-2026-7060

Nome do Software Vulnerável e Versões Afetadas liyupi yu-picture versões anteriores a a053632c41340152bf75b66b3c543d129123d8ec

Descrição Uma injeção de SQL remota é possível através do argumento sortField na função PageRequest() dentro do componente MyBatis-Plus do arquivo yu-picture-backend/src/main/java/com/yupi/yupicturebackend/service/impl/PictureServiceImpl.java. A injeção de SQL é uma técnica onde um invasor insere código SQL malicioso em uma consulta, permitindo a manipulação do banco de dados.

Recomendações Aplique a correção disponível para resolver o problema. Como medida paliativa temporária, restrinja ou valide a entrada do argumento sortField utilizado na função PageRequest().