CVE-2026-1546

Nome do Software Vulnerável e Versões Afetadas jishenghua jshERP versões até a 3.6

Descrição Existe uma vulnerabilidade de segurança no jishenghua jshERP. A função getBillItemByParam dentro do componente com.jsh.erp.datasource.mappers.DepotItemMapperEx, especificamente no arquivo /jshERP-boot/depotItem/importItemExcel, é suscetível a injeção de SQL. A manipulação do argumento barCodes pode desencadear esse problema, e a exploração remota é possível. A exploração foi divulgada publicamente.

Recomendações Versões até a 3.6: Corrija a vulnerabilidade de injeção de SQL na função getBillItemByParam do componente com.jsh.erp.datasource.mappers.DepotItemMapperEx. Como solução temporária, restrinja ou sanitize cuidadosamente a entrada do argumento barCodes.