漏洞通告|Jeecg Boot SQL注入漏洞

admin
admin
admin
138635
文章
114
评论
2024年5月19日01:11:35评论43 views字数 670阅读2分14秒阅读模式

漏洞通告|Jeecg Boot SQL注入漏洞

01 漏洞概况

Jeecg Boot是一款基于代码生成器的低代码开发平台,可以帮助解决Java项目的重复工作,提高企业应用开发效率,让开发更多关注业务逻辑。

近日,微步漏洞团队监测到Jeecg Boot修复了一处SQL注入漏洞。Jeecg Boot v3.5.3及以下版本 jmreport 模块的 /show 接口存在 SQL注入漏洞,攻击者可以通过布尔盲注绕过黑名单检测,从数据库中获取敏感信息。

经过分析和研判,该漏洞利于难度低,可导致数据库敏感信息泄漏,建议尽快修复。

02 漏洞处置优先级(VPT)

综合处置优先级:

漏洞编号

微步编号

XVE-2023-27421

漏洞评估

危害评级

高危

漏洞类型

SQL注入

公开程度

PoC已公开

利用条件

无权限要求

交互要求

0-click

威胁类型

远程

利用情报

微步已捕获攻击行为

暂无

影响产品

产品名称

Jeecg Boot

受影响版本

version <= 3.5.3

影响范围

万级

有无修复补丁

03 漏洞复现 

漏洞通告|Jeecg Boot SQL注入漏洞

04 修复方案 

1、官方修复方案

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/jeecgboot/jeecg-boot/commits/maste

2、临时修复方案:1.通过ACL网络策略限制访问来源
2.使用防护类设备对相关资产进行防护

05 微步在线产品侧支持情况  

微步在线威胁感知平台TDP SQL注入通用规则默认支持检测。

漏洞通告|Jeecg Boot SQL注入漏洞

06 时间线 

2023.09.12 厂商发布补丁
2023.09.14 微步发布报告

---End---

原文始发于微信公众号(微步在线研究响应中心):漏洞通告|Jeecg Boot SQL注入漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月19日01:11:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞通告|Jeecg Boot SQL注入漏洞https://cn-sec.com/archives/2038083.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息