CVE-2026-11467

Nome do Software Vulnerável e Versões Afetadas jishenghua jshERP versões anteriores a 3.7

Descrição Um problema de path traversal existe no endpoint 'addAccountHeadAndDetail'. Isso ocorre dentro da função addAccountHeadAndDetail() localizada no arquivo jshERP-boot/src/main/java/com/jsh/erp/service/AccountHeadService.java. Um invasor remoto pode manipular o argumento fileName para acessar arquivos e diretórios fora da pasta pretendida. Path traversal é uma técnica que permite a um invasor ler arquivos arbitrários no servidor manipulando caminhos de arquivos.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso ao endpoint 'addAccountHeadAndDetail' ou evite usar o parâmetro fileName até que uma correção esteja disponível.