| tiêu đề | Ruoyi Management System V4.8.1 Code Injection |
|---|
| Mô tả | The vulnerability exists in the CacheController at the '/monitor/cache/getnames' endpoint, where the fragment parameter does not adequately sanitize user input. This allows attackers to inject malicious code via carefully crafted Thymeleaf expressions. Although newer versions have implemented blacklist filtering, attackers can still bypass restrictions using specific formats (such as __|$${...}|__::.x) to achieve code execution. |
|---|
| Nguồn | ⚠️ https://github.com/ltranquility/CVE/issues/26 |
|---|
| Người dùng | Customer (UID 83474) |
|---|
| Đệ trình | 09/12/2025 10:01 (cách đây 4 các tháng) |
|---|
| Kiểm duyệt | 17/12/2025 21:59 (8 days later) |
|---|
| Trạng thái | được chấp nhận |
|---|
| Mục VulDB | 337047 [y_project RuoYi đến 4.8.1 /monitor/cache/getnames fragment nâng cao đặc quyền] |
|---|
| điểm | 20 |
|---|