nvd
Jerryshensjf
Уязвимости
5
Эксплуатируемые
0
Критический
0
Высокий
0
Топ продуктов
Топ уязвимостей
CVE-2025-7939В jerryshensjf JPACookieShop 蛋糕商城JPA版 1.0 обнаружена критическая уязвимость. Проблема затрагивает функцию addGoods файла GoodsController.java. Манипуляция приводит к неограниченной загрузке файлов. Атака может быть запущена удаленно. CWE классифицирует эту проблему как CWE-434 [1].
Рекомендуется использовать подготовленные запросы и привязку параметров для предотвращения подобных уязвимостей.
Источники:
- [1] https://vuldb.com/?id.317076
CVE-2025-8223В jerryshensjf JPACookieShop 蛋糕商城JPA版 до 24a15c02b4f75042c9f7f615a3fed2ec1cefb999 обнаружена уязвимость межсайтовой подделки запросов (CSRF). Проблема затрагивает неизвестный код файла AdminTypeCustController.java. Манипуляция приводит к CSRF. Атака может быть инициирована удаленно. Эксплойт был раскрыт общественности и может быть использован [1].
Источники:
- [1] https://github.com/Bemcliu/cve-reports/blob/main/cve-06-%E8%9B%8B%E7%B3%95%E5%95%86%E5%9F%8EJPA%E7%89%88-CSRF/readme.md
- [2] https://vuldb.com/?id.317811
- [3] https://vuldb.com/?ctiid.317811
- [4] https://vuldb.com/?submit.621787
- [5] https://gitee.com/yanyutao0402/ChanCMS/issues/ICLP9V
CVE-2025-8221В jerryshensjf JPACookieShop 蛋糕商城JPA版 до версии 24a15c02b4f75042c9f7f615a3fed2ec1cefb999 обнаружена уязвимость, классифицированная как проблемная. Затронута функция goodsSearch файла GoodsCustController.java. Манипуляция с аргументом keyword приводит к межсайтовому скриптингу. Атака может быть проведена удаленно. Эксплойт был раскрыт публично и может быть использован. Этот продукт использует подход непрерывной доставки с постепенным выпуском обновлений, поэтому детали версий, подверженных уязвимости, и обновленных версий недоступны. Согласно отчету на github.com, входные данные не фильтруются должным образом, а глобальные фильтры не обнаруживают вредоносные полезные нагрузки для входящих параметров. Кроме того, обработанный контент возвращается в браузер без надлежащего кодирования или экранирования выходных данных, что в конечном итоге приводит к уязвимости межсайтового скриптинга (XSS) [1].
Источники:
- [1] https://github.com/Bemcliu/cve-reports/blob/main/cve-04-%E8%9B%8B%E7%B3%95%E5%95%86%E5%9F%8EJPA%E7%89%88-Reflected%20XSS/readme.md
- [2] https://vuldb.com/?id.317809
- [3] https://vuldb.com/?ctiid.317809
- [4] https://vuldb.com/?submit.621784
CVE-2025-7938В jerryshensjf JPACookieShop 蛋糕商城JPA版 1.0 обнаружена критическая уязвимость. Проблема затрагивает функцию updateGoods файла GoodsController.java. Манипуляции приводят к обходу авторизации. Атака может быть инициирована удаленно. Эксплойт был раскрыт публично и может быть использован [1].
Система использует Apache Shiro для управления разрешениями, но не обеспечивает контроль доступа к критически важным API, что приводит к обходу авторизации. Регулярный пользователь, будучи аутентифицированным, может получить доступ к определенным функциям серверной части управления, которые должны быть ограничены, таким как операции с данными о продуктах и информацией о заказах. Это приводит к уязвимости повышения привилегий.
Источники:
- [1] https://vuldb.com/?id.317075
- [2] https://vuldb.com/?ctiid.317075
- [3] https://vuldb.com/?submit.618985
- [4] https://github.com/Bemcliu/cve-reports/blob/main/cve-02-%E8%9B%8B%E7%B3%95%E5%95%86%E5%9F%8EJPA%E7%89%88-Privilege%20Escalation/readme.md
CVE-2025-8222В jerryshensjf JPACookieShop 蛱糕商城JPA版 до 24a15c02b4f75042c9f7f615a3fed2ec1cefb999 обнаружена уязвимость межсайтового скриптинга (XSS). Проблема затрагивает неизвестный код файла GoodsController.java. Манипуляция приводит к XSS. Атака может быть инициирована удаленно. Эксплойт был раскрыт общественности и может быть использован [1]. Уязвимы несколько конечных точек.
Источники:
- [1] https://github.com/Bemcliu/cve-reports/blob/main/cve-05-%E8%9B%8B%E7%B3%95%E5%95%86%E5%9F%8EJPA%E7%89%88-Stored%20XSS/readme.md
- [2] https://vuldb.com/?id.317810
- [3] https://vuldb.com/?ctiid.317810
- [4] https://vuldb.com/?submit.621785
- [5] https://gitee.com/yanyutao0402/ChanCMS/issues/ICLP9V