PT-2026-36727 · Yunaiv · Ruoyi-Vue-Pro+1
9Str0Il
·
Publicado
2026-05-03
·
Atualizado
2026-05-04
·
CVE-2026-7710
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
YunaiV yudao-cloud versões anteriores a 3.8.1
Descrição
Existe uma falha de bypass de autenticação no componente Ruoyi-Vue-Pro. A manipulação do argumento
mock-token dentro da função doFilterInternal() do arquivo JwtAuthenticationTokenFilter.java permite a autenticação inadequada, a qual pode ser explorada remotamente.Recomendações
Atualize para uma versão posterior à 3.8.0.
Como medida paliativa temporária, restrinja ou desabilite o uso do argumento
mock-token no componente afetado.Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ruoyi-Vue-Pro
Yudao-Cloud