Jeecg-boot JDBC任意代码执行漏洞

admin 2023年8月15日12:44:21评论185 views字数 352阅读1分10秒阅读模式

漏洞简述

JeecgBoot是一款开源的企业级低代码平台,提供了表单、视图、流程等一键生成代码功能,目前在GitHub具有 35.5k star。
在V3版本中,由于未对JDBC连接字符串进行限制,未授权的攻击者可配置恶意的连接字符串,通过发送Http请求远程执行任意代码。

漏洞类型:代码注入

漏洞评分:8.1

漏洞等级:高危

利用所需权限:无需权限

利用难度:

影响广度:广

POC:未公开

复现时间:2023/08/11


影响范围:

org.jeecgframework.boot:jeecg-boot-parent@[3.0, 3.5.3]


修复方案:

官方暂未修复此漏洞,建议避免应用直接对外暴露。


漏洞验证

复现版本:jeecg-boot v3.5.3

Jeecg-boot JDBC任意代码执行漏洞

原文始发于微信公众号(信安百科):Jeecg-boot JDBC任意代码执行漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月15日12:44:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Jeecg-boot JDBC任意代码执行漏洞https://cn-sec.com/archives/1956661.html

发表评论

匿名网友 填写信息