ageerle ruoyi-ai bis 2.0.0 SysNoticeController.java erweiterte Rechte
Zusammenfassung
Es wurde eine als kritisch klassifizierte Schwachstelle in ageerle ruoyi-ai bis 2.0.0 entdeckt. Das betrifft eine unbekannte Funktionalität der Datei ruoyi-modules/ruoyi-system/src/main/java/org/ruoyi/system/controller/system/SysNoticeController.java. Dank Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Sicherheitslücke ist unter CVE-2025-3202 bekannt. Der Angriff kann über das Netzwerk angegangen werden. Darüber hinaus steht ein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine kritische Schwachstelle in ageerle ruoyi-ai bis 2.0.0 entdeckt. Hiervon betroffen ist ein unbekannter Codeblock der Datei ruoyi-modules/ruoyi-system/src/main/java/org/ruoyi/system/controller/system/SysNoticeController.java. Durch das Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-285 vorgenommen. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit.
Das Advisory kann von github.com heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2025-3202 geführt. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1548.002.
Der Exploit kann von github.com heruntergeladen werden. Er wird als proof-of-concept gehandelt.
Ein Upgrade auf die Version 2.0.1 vermag dieses Problem zu beheben. Eine neue Version kann von github.com bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 6382e177bf90cc56ff70521842409e35c50df32d beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.
Once again VulDB remains the best source for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Produkt: https://github.com/ageerle/ruoyi-ai/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔍
CNA CVSS-BT Score: 🔍
CNA Vector: 🔍
CVSSv3
VulDB Meta Base Score: 7.9VulDB Meta Temp Score: 7.7
VulDB Base Score: 7.3
VulDB Temp Score: 6.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.1
NVD Vector: 🔍
CNA Base Score: 7.3
CNA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-285 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: ruoyi-ai 2.0.1
Patch: 6382e177bf90cc56ff70521842409e35c50df32d
Timeline
03.04.2025 🔍03.04.2025 🔍
26.08.2025 🔍
Quellen
Produkt: github.comAdvisory: github.com
Status: Bestätigt
CVE: CVE-2025-3202 (🔍)
GCVE (CVE): GCVE-0-2025-3202
GCVE (VulDB): GCVE-100-303156
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 03.04.2025 14:59Aktualisierung: 26.08.2025 04:04
Anpassungen: 03.04.2025 14:59 (60), 04.04.2025 12:11 (30), 04.04.2025 14:13 (1), 26.08.2025 04:04 (11)
Komplett: 🔍
Cache ID: 216::103
Submit
Akzeptiert
- Submit #545866: ageerle https://github.com/ageerle/ruoyi-ai 20250328 version Unauthorized access vulnerability (von github.com)
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.