CRITICAL🇬🇧 English

CVE-2024-57521

SQL Injection (RCE) w RuoYi v.4.7.9 i wcześniejszych — funkcja createTable

CVSS 10.0v3.1pub. 2025-12-23upd. 2026-01-06

W systemie RuoYi w wersji 4.7.9 i wcześniejszych wykryto krytyczną podatność typu SQL Injection w funkcji createTable w pliku SqlUtil.java. Umożliwia ona zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na podatnym serwerze.

Pokaż oryginał (EN)

SQL Injection vulnerability in RuoYi v.4.7.9 and before allows a remote attacker to execute arbitrary code via the createTable function in SqlUtil.java.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych do funkcji createTable w SqlUtil.java, co pozwala na wstrzyknięcie złośliwego kodu SQL. Atakujący może przesłać specjalnie spreparowane żądanie sieciowe bez konieczności uwierzytelnienia. Skuteczne wstrzyknięcie umożliwia wykonanie arbitralnych poleceń na poziomie bazy danych, a w konsekwencji także wykonanie kodu na serwerze (RCE).

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem — odczytać, zmodyfikować lub usunąć dane w bazie, a także wykonać arbitralny kod na serwerze (RCE), co może prowadzić do całkowitego przejęcia systemu.

Mitygacja

Należy zastosować patch dostępny w repozytorium producenta (commit ddd858ca732618a472b10eaab2f8e4b45812ffc5 w repozytorium Gitee). Zaleca się jak najszybszą aktualizację do wersji zawierającej poprawkę oraz ograniczenie dostępu sieciowego do panelu administracyjnego RuoYi.

Kogo dotyczy

RuoYi v.4.7.9 oraz wszystkie wcześniejsze wersje.

Uwagi

Dla tej podatności publicznie dostępne jest Proof of Concept (PoC) opublikowane w repozytorium GitHub (mrlihd/CVE-2024-57521-SQL-Injection-PoC), co znacząco obniża próg wejścia dla potencjalnych atakujących i uzasadnia pilne wdrożenie poprawki.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Ruoyi

    APP
    Ruoyi
    ≤ 4.7.9
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCESQLi
CWE
Referencje

Powiązane podatności

CVE-2025-70985CRITICAL9.1PL ✓ten sam produkt

RuoYi v4.8.2 — nieprawidłowa kontrola dostępu w funkcji aktualizacji

CVE-2025-28406CRITICAL9.8PL ✓ten sam produkt

Eskalacja uprawnień w RuoYi v.4.8.0 poprzez parametr jobLogId

CVE-2025-28405CRITICAL9.8PL ✓ten sam produkt

RuoYi 4.8.0 – privilege escalation przez metodę changeStatus

CVE-2025-28402CRITICAL9.8PL ✓ten sam produkt

Eskalacja uprawnień przez parametr jobId w RuoYi v.4.8.0

CVE-2025-28408CRITICAL9.8PL ✓ten sam produkt

RuoYi 4.8.0 — privilege escalation przez brak walidacji parametru deptId