jshERP Endpoint deleteBatch improper authorization 漏洞信息(CVE-2025-8840)

一、漏洞 CVE-2025-8840 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞信息

                                        # jshERP批量删除未授权漏洞

## 概述

jshERP 中存在一个漏洞，影响版本 up to 3.5。漏洞位于组件 Endpoint 的文件 `/jshERP-boot/user/deleteBatch` 中，具体函数未明确定义。由于参数 `ids` 的处理存在问题，导致**越权操作**风险。

## 影响版本

- jshERP up to 3.5

## 细节

- **漏洞文件**：`/jshERP-boot/user/deleteBatch`
- **组件**：Endpoint
- **漏洞参数**：`ids`
- **攻击方式**：通过远程修改 `ids` 参数，触发越权删除操作
- **攻击前提**：无需用户交互，攻击可远程执行
- **公开状态**：漏洞利用代码已公开披露，可能被实际利用

## 影响

- 导致用户数据被未授权删除
- 存在被远程攻击者用于进行批量删除的风险
- 与 CVE-2025-7947 不同，属于独立漏洞

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

jshERP Endpoint deleteBatch improper authorization

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A vulnerability was determined in jshERP up to 3.5. Affected is an unknown function of the file /jshERP-boot/user/deleteBatch of the component Endpoint. The manipulation of the argument ids leads to improper authorization. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. Different than CVE-2025-7947.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

授权机制不恰当

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-8840 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-8840 的情报信息

标题： IDOR vulnerability (normal user can reset multiple users' passwords via /jshERP-boot/user/deleteBatch endpoint) · Issue #126 · jishenghua/jshERP -- 🔗来源链接

标签： exploit issue-tracking
神龙速读
https://vuldb.com/?ctiid.319374 signature permissions-required
https://vuldb.com/?id.319374 vdb-entry technical-description
https://vuldb.com/?submit.622621 third-party-advisory
https://vuldb.com/?submit.622573 third-party-advisory
https://nvd.nist.gov/vuln/detail/CVE-2025-8840

四、漏洞 CVE-2025-8840 的评论

暂无评论

一、 漏洞 CVE-2025-8840 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-8840 的公开POC

三、漏洞 CVE-2025-8840 的情报信息

四、漏洞 CVE-2025-8840 的评论

发表评论

一、漏洞 CVE-2025-8840 基础信息