CVE-2026-11473

Nome do Software Vulnerável e Versões Afetadas jflyfox jfinal cms versões anteriores a 5.1.1

Descrição Uma injeção de SQL remota existe na função list() dentro do arquivo AdvicefeedbackController.java. O problema ocorre quando o parâmetro orderBy é manipulado, permitindo que um invasor execute comandos SQL arbitrários.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja ou sanitize a entrada do parâmetro orderBy na função afetada para minimizar o risco de exploração.