漏洞预警 | Jeecg-Boot SQL注入漏洞

admin

103432
文章

87
评论

2023年8月1日15:28:04评论99 views字数 516阅读1分43秒阅读模式

0x00 漏洞编号

CVE-2023-38992

0x01 危险等级

高危

0x02 漏洞概述

Jeecg-Boot是一款开源的低代码开发平台。

漏洞预警 | Jeecg-Boot SQL注入漏洞

0x03 漏洞详情

CVE-2023-38992

漏洞类型：SQL注入

影响：获取敏感信息

简述：Jeecg-Boot版本<3.5.3中，由于org.jeecg.modules.system.controller.SysDictController中的loadTreeData方法未对用户传入的SQL字符进行过滤，经过身份验证的威胁者可通过向/sys/dict/loadTreeData发送恶意请求导致SQL注入，使后台数据库中的敏感信息泄露。

0x04 影响版本

Jeecg-Boot < 3.5.3

0x05 POC

https://github.com/jeecgboot/jeecg-boot/issues/5173

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

http://www.jeecg.com/

原文始发于微信公众号（浅安安全）：漏洞预警 | Jeecg-Boot SQL注入漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

漏洞预警 | Jeecg-Boot SQL注入漏洞

CVE-2023-38992

【漏洞预警】Apache OFBiz 目录遍历导致RCE漏洞CVE-2024-32113

【漏洞通告】BIG-IP Next Central Manager多个注入漏洞安全风险通告

用友U8 CRM客户关系管理系统 downloadfile 任意文件读取

用友-U8C-Cloud upload sql注入漏洞复现

漏洞预警 | Travelpayouts开放式重定向漏洞

漏洞复现-福建科立讯通信指挥调度管理平台ajax_users.php 存在SQL注入

漏洞复现-禅道身份认证绕过漏洞

用友U8-CRM客户关系管理系统downloadfile.php 任意文件读取漏洞

【0day】瑞友天翼应用虚拟化系统

QVD-2024-15263：禅道身份认证绕过漏洞

发表评论

在线咨询

微信