漏洞简述
在V3版本中,由于未对JDBC连接字符串进行限制,未授权的攻击者可配置恶意的连接字符串,通过发送Http请求远程执行任意代码。
漏洞类型:代码注入
漏洞评分:8.1
漏洞等级:高危
利用所需权限:无需权限
利用难度:低
影响广度:广
POC:未公开
复现时间:2023/08/11
影响范围:
org.jeecgframework.boot:jeecg-boot-parent@[3.0, 3.5.3]
修复方案:
官方暂未修复此漏洞,建议避免应用直接对外暴露。
漏洞验证
复现版本:jeecg-boot v3.5.3
原文始发于微信公众号(信安百科):Jeecg-boot JDBC任意代码执行漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论