CRITICAL🇬🇧 English

CVE-2025-70985

RuoYi v4.8.2 — nieprawidłowa kontrola dostępu w funkcji aktualizacji

CVSS 9.1v3.1pub. 2026-01-23upd. 2026-01-30

Podatność w systemie RuoYi v4.8.2 pozwala nieuwierzytelnionym atakującym na nieautoryzowaną modyfikację danych wykraczającą poza ich uprawnienia. Błąd dotyczy funkcji aktualizacji i wynika z braku właściwej kontroli dostępu.

Pokaż oryginał (EN)

Incorrect access control in the update function of RuoYi v4.8.2 allows unauthorized attackers to arbitrarily modify data outside of their scope.

🤖 Analiza AI
Jak działa

Funkcja aktualizacji danych w RuoYi v4.8.2 nie weryfikuje poprawnie, czy żądający użytkownik posiada uprawnienia do modyfikacji wskazanych zasobów. Atakujący bez uwierzytelnienia może wysłać odpowiednio spreparowane żądanie do endpointu aktualizacji, obchodząc mechanizmy kontroli dostępu. W rezultacie możliwa jest modyfikacja danych należących do innych użytkowników lub zasobów systemowych, do których atakujący nie powinien mieć dostępu.

Skutki

Atakujący może arbitralnie modyfikować dane poza zakresem swoich uprawnień, co może prowadzić do naruszenia integralności danych przechowywanych w systemie oraz potencjalnego przejęcia kontroli nad zasobami innych użytkowników.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zalecane jest śledzenie oficjalnego repozytorium projektu na Gitee (https://gitee.com/y_project/RuoYi) oraz GitHub (https://github.com/yangzongzhuan/RuoYi) w celu uzyskania aktualizacji.

Kogo dotyczy

RuoYi v4.8.2

Uwagi

Dostępny publiczny proof-of-concept (PoC) w serwisie GitHub Gist pod adresem https://gist.github.com/old6ma/1a2dada02656ba9a4730c85f6c765f4f. Problem był zgłoszony w trackerze błędów Gitee jako IDIDK2.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Ruoyi

    APP
    Ruoyi
    4.8.14.8.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-57521CRITICAL10.0PL ✓ten sam produkt

SQL Injection (RCE) w RuoYi v.4.7.9 i wcześniejszych — funkcja createTable

CVE-2025-28405CRITICAL9.8PL ✓ten sam produkt

RuoYi 4.8.0 – privilege escalation przez metodę changeStatus

CVE-2025-28402CRITICAL9.8PL ✓ten sam produkt

Eskalacja uprawnień przez parametr jobId w RuoYi v.4.8.0

CVE-2025-28406CRITICAL9.8PL ✓ten sam produkt

Eskalacja uprawnień w RuoYi v.4.8.0 poprzez parametr jobLogId

CVE-2025-28408CRITICAL9.8PL ✓ten sam produkt

RuoYi 4.8.0 — privilege escalation przez brak walidacji parametru deptId

CVE-2025-70985 — RuoYi v4.8.2 — nieprawidłowa kontrola dostępu w funkcji aktualizacji — CRITICAL 9.1 | CVEbaza.pl