CVE-2026-38812
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
RuoYi w wersji 4.8.2 jest podatny na atak typu SQL Injection poprzez punkt końcowy /tool/gen/createTable. Problem dotyczy modułu generowania kodu i może umożliwić uwierzytelnionemu atakującemu z uprawnieniami administratora dostęp do wrażliwych informacji w bazie danych.
Ocena ryzyka
Atakujący z uprawnieniami administratora może uzyskać dostęp do poufnych danych w bazie, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji RuoYi oraz wprowadzenie dodatkowych zabezpieczeń, aby ograniczyć dostęp do punktu końcowego /tool/gen/createTable.
Oryginalny opis (angielski, źródło NVD)
RuoYi v4.8.2 is vulnerable to SQL Injection via the /tool/gen/createTable endpoint. The issue affects the code generation module and may allow an authenticated attacker with administrative privileges to access sensitive database information.

