简介
jeecgboot积木报表系统jimureport(jmreport)是一款免费的数据可视化报表,含报表和大屏设计,像搭建积木一样在线设计报表!功能涵盖数据报表、打印设计、图表报表、大屏设计等!
官网地址:http://jimureport.com/源码地址:https://github.com/jeecgboot/JimuReport开发语言:Java
回复“CVE-2023-4450”获取空间测绘搜索语句漏洞描述
jimureport ≤ v1.6.0 具有 SSTI(服务器端模板注入),攻击者可利用该漏洞远程执行任意代码(RCE)。
影响版本
jimureport ≤ v1.6.0
漏洞环境
环境要求:JDK7+,MySQL
1.漏洞环境下载(V1.5.8版本):
https://pan.baidu.com/s/1NZJeAapDoEHEuwAhyCzUSA?pwd=wl48
2.将“jimureport.mysql5.7.create.sql”导入数据库
3.修改好配置文件“application.yml”
4.双击“start.bat”运行程序,访问以下链接即可:
http://localhost:8085/jmreport/list
漏洞利用
1.访问以下链接,然后点击“新建报表”
http://localhost:8085/jmreport/list
2.新建“数据集管理”,然后点击“SQL数据集”
3.填写以下数据并点击“SQL解析”执行代码
<
4.成功弹出记事本
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2023-4450https://github.com/keecth/bug/blob/main/jimureport%20ssti(RCE).mdhttp://jimureport.com/
回复“CVE-2023-4450” 获取空间测绘语句
仅供学习交流,勿用作违法犯罪
原文始发于微信公众号(不够安全):CVE-2023-4450:jeecgboot积木报表系统 模板注入远程代码执行 附完整复现过程
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论