CVE-2026-11502

Nome do Software Vulnerável e Versões Afetadas JeecgBoot versões anteriores a 3.9.3

Description Um problema de redirecionamento aberto existe no componente de Login de Terceiros. A função HttpServletResponse.sendRedirect() no arquivo jeecg-module-system/jeecg-system-biz/src/main/java/org/jeecg/modules/system/controller/ThirdLoginController.java não valida adequadamente o argumento state, permitindo que atacantes remotos redirecionem usuários para sites externos arbitrários. A exploração requer engenharia social para induzir a vítima a clicar em um link de login OAuth especialmente criado. Este recurso é opcional e pode não estar habilitado em todas as instalações.

Recommendations Atualize para uma versão posterior a 3.9.2. Como medida de mitigação temporária, desabilite o recurso de Login de Terceiros caso ele não seja necessário para as operações do projeto.