LOW🇬🇧 English

CVE-2025-4537

CVSS 2.3v4.0pub. 2025-05-11upd. 2025-07-08

A vulnerability was found in yangzongzhuan RuoYi-Vue up to 3.8.9 and classified as problematic. Affected by this issue is some unknown functionality of the file ruoyi-ui/jsencrypt.js and ruoyi-ui/login.vue of the component Password Handler. The manipulation leads to cleartext storage of sensitive information in a cookie. The attack may be launched remotely. The complexity of an attack is rather high. The exploitation is known to be difficult. The exploit has been disclosed to the public and may be used.

oryginał EN
CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Ruoyi Vue

    APP
    Ruoyi
    ≤ 3.8.9
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-70985CRITICAL9.1PL ✓ten sam vendor

RuoYi v4.8.2 — nieprawidłowa kontrola dostępu w funkcji aktualizacji

CVE-2024-57521CRITICAL10.0PL ✓ten sam vendor

SQL Injection (RCE) w RuoYi v.4.7.9 i wcześniejszych — funkcja createTable

CVE-2025-28405CRITICAL9.8PL ✓ten sam vendor

RuoYi 4.8.0 – privilege escalation przez metodę changeStatus

CVE-2025-28402CRITICAL9.8PL ✓ten sam vendor

Eskalacja uprawnień przez parametr jobId w RuoYi v.4.8.0

CVE-2025-28406CRITICAL9.8PL ✓ten sam vendor

Eskalacja uprawnień w RuoYi v.4.8.0 poprzez parametr jobLogId