1.4 KiB
CVE-2025-9409
Description
A security flaw has been discovered in lostvip-com ruoyi-go up to 2.1. Impacted is the function DownloadTmp/DownloadUpload of the file modules/system/controller/CommonController.go. Performing manipulation of the argument fileName results in path traversal. It is possible to initiate the attack remotely. The exploit has been released to the public and may be exploited. The vendor was contacted early about this disclosure but did not respond in any way. In lostvip-com ruoyi-go bis 2.1 wurde eine Schwachstelle gefunden. Hierbei betrifft es die Funktion DownloadTmp/DownloadUpload der Datei modules/system/controller/CommonController.go. Mittels Manipulieren des Arguments fileName mit unbekannten Daten kann eine path traversal-Schwachstelle ausgenutzt werden. Der Angriff lässt sich über das Netzwerk starten. Der Exploit steht zur öffentlichen Verfügung.
POC
Reference
Github
No PoCs found on GitHub currently.