漏洞描述
ageerle ruoyi-ai 2.0.1 及之前版本中,ruoyi-modules/ruoyi-system/src/main/java/org/ruoyi/system/controller/system/SysModelController.java 所涉及的 API 接口存在权限控制不当漏洞,部分接口功能缺乏有效的身份鉴别与授权校验,攻击者可在无需有效权限的情况下远程访问受限功能,造成越权操作。该漏洞利用方式已公开,官方已在 2.0.2 版本中修复。
RuoYi AI /prod-api/system/model/list 信息泄露漏洞(CVE-2025-3199)
PoC代码
暂无相关漏洞推荐
- (CVE-2025-7901)RuoYi Swagger UI组件configUrl参数跨站脚本漏洞
- POC CNVD-2021-01931: Ruoyi Management System - Local File Inclusion
- POC CVE-2024-36837: CRMEB开源电商系统 /api/products SQL注入漏洞(CVE-2024-36837)
- POC ruoyi-druid-unauth: 若依管理系统未授权访问
- POC CNVD-2021-01931: Ruoyi Management System - Local File Inclusion
- RuoYi-Vue-Plus sendMessageWithAttachment 任意文件读取漏洞
- RuoYi AI /prod-api/auth/login 默认口令漏洞
- (CVE-2025-5430) AssamLook CMS 1.0 /product.php SQL注入漏洞
- (CVE-2025-3202) RuoYi-ai系统未授权访问漏洞
- CRMEB /api/products selectId 存在SQL注入漏洞
- 若依-RuoYi-Vue getUsersByPhone 未授权访问漏洞
- 蜂信物联物联网平台 /prod-api/iot/tool/download 文件读取漏洞
- CRMEB电商系统 /api/products SQL 注入漏洞