漏洞名称:jeecg-boot/积木报表基于SSTI的任意代码执行漏洞
漏洞出现时间:2023年8月17日
影响等级:严重
影响版本:
-
JeecgBoot @[3.0, 3.5.3]
-
org.jeecgframework.jimureport:jimureport-spring-boot-starter@(-∞, 1.6.1)
-
org.jeecgframework:minidao-spring-boot-starter@[1.6.7, 1.9.2)
-
org.jeecgframework.boot:codegenerate@[1.3.1, 1.4.4)
-
org.jeecgframework.boot:hibernate-re@[2.4.2, 3.5.3)
-
org.jeecgframework:jeewx-api@[1.2.2, 1.5.2)
-
org.jeecgframework.boot:drag-free@[1.0.0, 1.0.2)
漏洞说明:
利用方式:未公开,建议升级到最新版本。
修复方式:
-
避免 /jeecg-boot/jmreport/queryFieldBySql Api接口对外暴露
-
将组件 org.jeecgframework.boot:codegenerate 升级至 1.4.4 及以上版本
-
禁用Freemarker高危的代码执行类,如:
Jeecg-Boot是一款基于代码生成器的智能开发平台!采用前后端分离架构:SpringBoot,Mybatis,Shiro,JWT,Vue&Ant Design。强大的代码生成器让前端和后台代码一键生成,不需要写任何代码。
图片版本更好保存哦~
原文始发于微信公众号(皓月当空w):【严重漏洞】jeecg-boot/积木报表基于SSTI的任意代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论