Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en yangzongzhuan RuoYi-Vue (CVE-2025-4537)

Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-312 Almacenamiento de información sensible en texto claro
Fecha de publicación:
11/05/2025
Última modificación:
08/07/2025

Descripción

Se encontró una vulnerabilidad en yangzongzhuan RuoYi-Vue hasta la versión 3.8.9, clasificada como problemática. Este problema afecta a una funcionalidad desconocida de los archivos ruoyi-ui/jsencrypt.js y ruoyi-ui/login.vue del componente Password Handler. La manipulación permite el almacenamiento de información confidencial en texto plano en una cookie. El ataque puede ejecutarse de forma remota. La complejidad del ataque es bastante alta. Parece difícil de explotar. Se ha hecho público el exploit y puede que sea utilizado.

Impacto

Puntuación base 4.0
2.30
Gravedad 4.0
BAJA
Puntuación base 3.x
3.10
Gravedad 3.x
BAJA
Puntuación base 2.0
2.60
Gravedad 2.0
BAJA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:ruoyi:ruoyi-vue:*:*:*:*:*:*:*:* 3.8.9 (incluyendo)