PT-2026-5265 · Jishenghua+1 · Jsherp+1
Mukyuuhate
·
Publicado
2026-01-29
·
Atualizado
2026-01-29
·
CVE-2026-1588
CVSS v2.0
3.3
Baixa
| Vetor | AV:N/AC:L/Au:M/C:P/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
jishenghua jshERP versões anteriores à 3.6
Descrição
Existe uma vulnerabilidade de path traversal na função
install do arquivo /jshERP-boot/plugin/installByPath, dentro do componente com.gitee.starblues.integration.operator.DefaultPluginOperator. A manipulação do argumento path pode levar a path traversal. Este problema é potencialmente explorável remotamente. O exploit foi divulgado publicamente. Os mantenedores do projeto foram notificados, mas ainda não responderam.Recomendações
Versões anteriores à 3.6: Atualize para uma versão mais recente para corrigir a vulnerabilidade. Como solução temporária, restrinja o acesso ao endpoint
/jshERP-boot/plugin/installByPath. Evite utilizar entrada não confiável para o parâmetro path.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Defaultpluginoperator
Jsherp