Vulnerabilidad en yangzongzhuan RuoYi-Vue (CVE-2025-4537)
Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-312
Almacenamiento de información sensible en texto claro
Fecha de publicación:
11/05/2025
Última modificación:
08/07/2025
Descripción
Se encontró una vulnerabilidad en yangzongzhuan RuoYi-Vue hasta la versión 3.8.9, clasificada como problemática. Este problema afecta a una funcionalidad desconocida de los archivos ruoyi-ui/jsencrypt.js y ruoyi-ui/login.vue del componente Password Handler. La manipulación permite el almacenamiento de información confidencial en texto plano en una cookie. El ataque puede ejecutarse de forma remota. La complejidad del ataque es bastante alta. Parece difícil de explotar. Se ha hecho público el exploit y puede que sea utilizado.
Impacto
Puntuación base 4.0
2.30
Gravedad 4.0
BAJA
Puntuación base 3.x
3.10
Gravedad 3.x
BAJA
Puntuación base 2.0
2.60
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:ruoyi:ruoyi-vue:*:*:*:*:*:*:*:* | 3.8.9 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://magnificent-dill-351.notion.site/Password-Disclosure-in-RuoYi-Vue-3-8-9-1e3c693918ed80ee9799f270c8346cd4
- https://vuldb.com/?ctiid_308282=
- https://vuldb.com/?id_308282=
- https://vuldb.com/?submit_566469=
- https://magnificent-dill-351.notion.site/Password-Disclosure-in-RuoYi-Vue-3-8-9-1e3c693918ed80ee9799f270c8346cd4