CVE-2026-3287 Java — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	5,3 (MEDIUM)
Тип уязвимости	CWE-89 (SQL-инъекция), CWE-74 (Внедрение)
Поставщик	Java
Публичный эксплойт	Нет

В youlaitech youlai-mall 2.0.0 обнаружена уязвимость безопасности. Это влияет на функцию listPagedSpuForApp файла mall-pms/pms-boot/src/main/java/com/youlai/mall/pms/controller/app/SpuController.java конечной точки разбивки на страницы продукта на стороне приложения. Выполнение манипуляции с аргументом sortField/sort приводит к внедрению sql.

Возможна удаленная эксплуатация атаки. Эксплойт был опубликован и может быть использован для атак. С поставщиком заранее связались по поводу этой информации, но он никак не отреагировал.

Показать оригинальное описание (EN)

A security flaw has been discovered in youlaitech youlai-mall 2.0.0. This affects the function listPagedSpuForApp of the file mall-pms/pms-boot/src/main/java/com/youlai/mall/pms/controller/app/SpuController.java of the component App-side Product Pagination Endpoint. Performing a manipulation of the argument sortField/sort results in sql injection. Remote exploitation of the attack is possible. The exploit has been released to the public and may be used for attacks. The vendor was contacted early about this disclosure but did not respond in any way.