漏洞名称:jeecg-boot/积木报表基于SSTI的任意代码执行漏洞
漏洞出现时间:2023年8月17日
影响等级:严重
影响版本:
-
JeecgBoot @[3.0, 3.5.3]
-
org.jeecgframework.jimureport:jimureport-spring-boot-starter@(-∞, 1.6.1)
-
org.jeecgframework:minidao-spring-boot-starter@[1.6.7, 1.9.2)
-
org.jeecgframework.boot:codegenerate@[1.3.1, 1.4.4)
-
org.jeecgframework.boot:hibernate-re@[2.4.2, 3.5.3)
-
org.jeecgframework:jeewx-api@[1.2.2, 1.5.2)
-
org.jeecgframework.boot:drag-free@[1.0.0, 1.0.2)
漏洞说明:
利用方式:未公开,建议升级到最新版本。
修复方式:
-
避免 /jeecg-boot/jmreport/queryFieldBySql Api接口对外暴露
-
将组件 org.jeecgframework.boot:codegenerate 升级至 1.4.4 及以上版本
-
禁用Freemarker高危的代码执行类,如:
Jeecg-Boot是一款基于代码生成器的智能开发平台!采用前后端分离架构:SpringBoot,Mybatis,Shiro,JWT,Vue&Ant Design。强大的代码生成器让前端和后台代码一键生成,不需要写任何代码。
图片版本更好保存哦~
原文始发于微信公众号(皓月当空w):【严重漏洞】jeecg-boot/积木报表基于SSTI的任意代码执行漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论