Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » CVE-2026-7060

CVE-2026-7060

cve vulnerability

CVE-2026-7060

CVE-2026-7060: SQL Injection en Liyupi YU-Picture Backend

Descripción de la Vulnerabilidad

A vulnerability was determined in liyupi yu-picture up to a053632c41340152bf75b66b3c543d129123d8ec. This impacts the function PageRequest of the file yu-picture-backend/src/main/java/com/yupi/yupicturebackend/service/impl/PictureServiceImpl.java of the component MyBatis-Plus.

Executing a manipulation of the argument sortField can lead to SQL injection. The attack can be launched remotely.

Sistemas Afectados

  • Liyupi YU-Picture Backend Service (yu-picture-backend)
  • MyBatis-Plus Framework Component

Impacto y Explotabilidad

The exploit has been publicly disclosed and may be utilized. This product does not use versioning, making it difficult to patch.

CVSS Score: 7.3

Indicadores de Compromiso (IOCs)

Tipo Valor/Contexto Referencia
Vulnerabilidad ID CVE-2026-7060 No disponible en fuentes públicas
Fila de Código Afectada yu-picture-backend/src/main/java/com/yupi/yupicturebackend/service/impl/PictureServiceImpl.java:PageRequest() CVE-2026-7060
Potencial Exploit No disponible en repositorios públicos Sistema de vulnerabilidades público

Mitigación y Parches

Lienzar no usa versioning, por lo que es difícil implementar patching.

Se recomienda:

  • Asegurar que el campo sortField pase un valor seguro de tipo string sin escape de caracteres.
  • Mantener actualizada la versión del backend y framework MyBatis-Plus en producción.
  • Ejecutar escaneos de seguridad periódicos para detectar vulnerabilidades similares.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me