发布日期：2025-05-26
更新日期：2025-08-14

受影响系统：

Thinkgem JeeSite <= 5.11.1

描述：

---

CVE(CAN) ID: CVE-2025-5186

Thinkgem JeeSite是中国卓源（Thinkgem）公司的一套开源的Java EE企业级快速开发平台，包括系统权限组件、数据权限组件、数据字典组件、核心工具组件、视图操作组件、工作流组件和代码生成组件等。
Thinkgem JeeSite 5.11.1及之前版本组件URI Scheme Handler的文件/cms/fileTemplate/form中函数ResourceLoader.getResource存在服务器端请求伪造漏洞，远程攻击者可通过修改参数Name造成信息泄漏。

<**>

建议：

---

厂商补丁：

Thinkgem
--------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://github.com/xiaoyangsec/JeeSite_SSRF/blob/main/jeesite5-ssrf-file-read.md

浏览次数：67
严重程度：0（网友投票）