YunaiV yudao-cloud漏洞CVE-2025-10987

YunaiV yudao-cloud 是芋道源码团队基于 Spring Cloud Alibaba 的企业级微服务架构开源解决方案，是 ruoyi-vue-pro 的全新 Cloud 版本。

yudao-cloud 集成 Spring Boot、Spring Cloud、MyBatis Plus、Vue & Element 等主流技术栈，提供完整后台管理系统和小程序解决方案。

一、基本情况

yudao-cloud 支持 RBAC 动态权限、多租户、数据权限、工作流、三方登录、支付、商城等，后端采用 Spring Cloud Alibaba 微服务架构。

yudao-cloud 集成 Nacos、Spring Cloud Gateway、RocketMQ、Seata、XXL-JOB、Sentinel ，支持 MySQL、Oracle、PostgreSQL 等。

栋科技漏洞库关注到YunaiV yudao-cloud在2025年9月之前存在一个漏洞，该漏洞被追踪为CVE-2025-10987，漏洞的CVSS3.X评分为 6.3。

二、漏洞分析

CVE-2025-10987漏洞的存在于YunaiV yudao-cloud在2025年9月之前存在一个漏洞，通过操纵参数contactId，攻击者可以造成不当授权。

该漏洞影响了组件HTTP请求处理器中的某些未知功能文件/crm/contact/transfer，远程可以发起攻击，且该漏洞已被公开披露并可被利用。

三、影响范围

未知

四、修复建议

未知

五、参考链接

管理员已设置登录后刷新可查看