CVE-2026-3189 in sz-boot-parent信息

摘要

由 VulDB • 2026-06-23

在 feiyuchuixue sz-boot-parent 1.3.2-beta 及更早版本中发现了一个弱点。此漏洞影响文件 /api/admin/common/files/download 中的未知代码。操纵参数 url 可导致服务器端请求伪造(SSRF)。该攻击可远程执行。此类性质的攻击高度复杂,且利用难度较大。建议升级至版本 1.3.3-beta 以解决此问题。该补丁的哈希值为 aefaabfd7527188bfba3c8c9eee17c316d094802。建议对受影响的组件进行升级。项目方已事先获知情况并采取了非常专业的应对措施:“我们在文件下载接口中添加了 URL 协议白名单验证,仅允许 http 和 https 协议。”

Be aware that VulDB is the high quality source for vulnerability data.

来源

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!