CRITICAL🇬🇧 English

CVE-2025-28408

RuoYi 4.8.0 — privilege escalation przez brak walidacji parametru deptId

CVSS 9.8v3.1pub. 2025-04-07upd. 2025-04-09

Podatność w aplikacji RuoYi v.4.8.0 umożliwia zdalnemu atakującemu eskalację uprawnień bez jakiegokolwiek uwierzytelnienia. Ze względu na wynik CVSS 9.8 stanowi krytyczne zagrożenie dla systemów udostępnionych w sieci.

Pokaż oryginał (EN)

An issue in RUoYi v.4.8.0 allows a remote attacker to escalate privileges via the selectDeptTree method of the /selectDeptTree/{deptId} endpoint does not properly validate the deptId parameter

🤖 Analiza AI
Jak działa

Metoda selectDeptTree obsługująca endpoint /selectDeptTree/{deptId} nie przeprowadza właściwej walidacji parametru deptId przekazanego przez użytkownika. Nieuwierzytelniony, zdalny atakujący może spreparować odpowiednie żądanie HTTP z manipulowaną wartością deptId, co skutkuje nieautoryzowanym podniesieniem uprawnień w aplikacji. Podatność klasyfikowana jest jako CWE-284 (Improper Access Control), co wskazuje na brak kontroli dostępu do wrażliwego zasobu.

Skutki

Atakujący może uzyskać podwyższone uprawnienia w systemie, co potencjalnie prowadzi do pełnego przejęcia kontroli nad aplikacją, w tym naruszenia poufności, integralności oraz dostępności danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium projektu (https://github.com/yangzongzhuan/RuoYi) w celu uzyskania aktualizacji. Do czasu wdrożenia łatki należy rozważyć ograniczenie dostępu do endpointu /selectDeptTree/{deptId} na poziomie firewall lub reverse proxy.

Kogo dotyczy

RuoYi v.4.8.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Ruoyi

    APP
    Ruoyi
    4.8.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2025-70985CRITICAL9.1PL ✓ten sam produkt

RuoYi v4.8.2 — nieprawidłowa kontrola dostępu w funkcji aktualizacji

CVE-2024-57521CRITICAL10.0PL ✓ten sam produkt

SQL Injection (RCE) w RuoYi v.4.7.9 i wcześniejszych — funkcja createTable

CVE-2025-28405CRITICAL9.8PL ✓ten sam produkt

RuoYi 4.8.0 – privilege escalation przez metodę changeStatus

CVE-2025-28402CRITICAL9.8PL ✓ten sam produkt

Eskalacja uprawnień przez parametr jobId w RuoYi v.4.8.0

CVE-2025-28406CRITICAL9.8PL ✓ten sam produkt

Eskalacja uprawnień w RuoYi v.4.8.0 poprzez parametr jobLogId