Katalog CVE

CVE-2026-38812

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

RuoYi w wersji 4.8.2 jest podatny na atak typu SQL Injection poprzez punkt końcowy /tool/gen/createTable. Problem dotyczy modułu generowania kodu i może umożliwić uwierzytelnionemu atakującemu z uprawnieniami administratora dostęp do wrażliwych informacji w bazie danych.

Ocena ryzyka

Atakujący z uprawnieniami administratora może uzyskać dostęp do poufnych danych w bazie, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji RuoYi oraz wprowadzenie dodatkowych zabezpieczeń, aby ograniczyć dostęp do punktu końcowego /tool/gen/createTable.

Oryginalny opis (angielski, źródło NVD)

RuoYi v4.8.2 is vulnerable to SQL Injection via the /tool/gen/createTable endpoint. The issue affects the code generation module and may allow an authenticated attacker with administrative privileges to access sensitive database information.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS