CRITICAL🇬🇧 English

CVE-2025-28405

RuoYi 4.8.0 – privilege escalation przez metodę changeStatus

CVSS 9.8v3.1pub. 2025-04-07upd. 2025-04-09

Podatność w aplikacji RuoYi v.4.8.0 umożliwia zdalnemu atakującemu nieautoryzowane podniesienie uprawnień za pośrednictwem metody changeStatus. Krytyczny poziom zagrożenia (CVSS 9.8) wynika z możliwości pełnego kompromitowania poufności, integralności i dostępności systemu bez konieczności uwierzytelnienia.

Pokaż oryginał (EN)

An issue in RUoYi v.4.8.0 allows a remote attacker to escalate privileges via the changeStatus method

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-284 (Improper Access Control) dotyczy metody changeStatus w aplikacji RuoYi. Zdalny atakujący może wywołać tę metodę bez odpowiednich uprawnień, co skutkuje brakiem właściwej weryfikacji kontroli dostępu po stronie serwera. W efekcie możliwe jest eskalowanie własnych uprawnień do wyższego poziomu w aplikacji.

Skutki

Atakujący może uzyskać podwyższone uprawnienia w systemie, co potencjalnie prowadzi do pełnego przejęcia kontroli nad aplikacją, modyfikacji danych oraz naruszenia poufności i dostępności zasobów.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie oficjalnego repozytorium projektu RuoYi na GitHub w celu uzyskania aktualnych informacji o poprawkach bezpieczeństwa.

Kogo dotyczy

RuoYi v.4.8.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Ruoyi

    APP
    Ruoyi
    4.8.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2025-70985CRITICAL9.1PL ✓ten sam produkt

RuoYi v4.8.2 — nieprawidłowa kontrola dostępu w funkcji aktualizacji

CVE-2024-57521CRITICAL10.0PL ✓ten sam produkt

SQL Injection (RCE) w RuoYi v.4.7.9 i wcześniejszych — funkcja createTable

CVE-2025-28406CRITICAL9.8PL ✓ten sam produkt

Eskalacja uprawnień w RuoYi v.4.8.0 poprzez parametr jobLogId

CVE-2025-28402CRITICAL9.8PL ✓ten sam produkt

Eskalacja uprawnień przez parametr jobId w RuoYi v.4.8.0

CVE-2025-28408CRITICAL9.8PL ✓ten sam produkt

RuoYi 4.8.0 — privilege escalation przez brak walidacji parametru deptId