CVE-2025-45854JEHC-BPM 2.0.1 содержит уязвимость удаленного выполнения команд в компоненте /server/executeExec, позволяющую злоумышленникам выполнять произвольный код без авторизации [1]. Уязвимый метод executeExec принимает параметры, переданные пользователем, и выполняет команды без надлежащей проверки.
Источники:
- [1] https://gitee.com/jehc/JEHC-BPM
- [2] https://gist.github.com/Cafe-Tea/bc14b38f4bfd951de2979a24c3358460
- [3] https://web.archive.org/web/20250604134020/https://gist.github.com/Cafe-Tea/bc14b38f4bfd951de2979a24c3358460/revisions