Jeecg-Boot 存在前台SQL注入漏洞【CVE-2023-1454】

已于 2023-07-02 11:10:43 修改
阅读量5.6k 收藏 11
点赞数 5
CC 4.0 BY-SA版权
分类专栏: 网络安全漏洞复现 文章标签: rxjava android
于 2023-07-02 10:33:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/holyxp/article/details/131498546

Jeecg-Boot 存在前台SQL注入漏洞【CVE-2023-1454】

一、Jeecg-Boot 简介

eecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发! JeecgBoot引领新低代码开发模式 OnlineCoding-> 代码生成器-> 手工MERGE, 帮助Java项目解决70%的重复工作,让开发更多关注业务,既能快速提高效率,节省研发成本,同时又不失灵活性!一系列低代码能力:Online表单、Online报表、Online图表、表单设计、流程设计、报表设计、大屏设计 等等

二、漏洞描述

jeecg-boot 3.5.0版本存在SQL注入漏洞,该漏洞源于文件 jmreport/qurestSql 存在安全问题, 通过参数 apiSelectId 导致SQL注入。
CVE-2023-1454
CNNVD-202303-1399

三、影响版本

jeecg-boot 3.5.0版本

四、fofa查询语句

body=“jeecg-boot”

五、漏洞复现

漏洞数据包


                

                
                
        

    

    
  


        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
                
                    
                    超级会员免费看
                
            

            
            
            
        


    



                



	

		

			

				
					
JeecgBoot JimuReport testConnection RCE漏洞复现

				
			

			

				

					0xSec
				

				

					12-12
					
					2939
					
				

			

		

		

			
				
JeecgBootjeecg-boot/jmreport/testConnection 未进行身份验证,并且未对 dbUrl 参数进行限制,当应用端存在H2数据库驱动依赖时,攻击者发送包含恶意 dbUrl 参数的 http 请求远程执行任意代码。

			
		

	



                

            
              



	

		

			

				
					
Jeecg-Boot 存在前台SQL注入漏洞CVE-2023-1454

				
			

			

				

					nnn2188185的博客
				

				

					04-10
					
					6880
					
				

			

		

		

			
				
jeecg-boot 3.5.0版本存在SQL注入漏洞,该漏洞源于文件 jmreport/qurestSql 存在安全问题, 通过参数 apiSelectId 导致SQL注入

			
		

	



              


  
              

                


	

		

			

				
					
CVE-2023-1454 Jeecg-Boot-qurestSql-SQL-漏洞检测

				
			

			

				

					m0_66376444的博客
				

				

					04-11
					
					1649
					
				

			

		

		

			
				
JeecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。JeecgBoot qurestSql存在SQL注入漏洞,攻击者可以从其中获取数据库权限。访问路径:/jeecg-boot/jmreport/qurestSql。初步了解,存在这个路径可能会存在sql漏洞。出现这个说明存在漏洞

			
		

	





	

		

			

				
					
Jeecg漏洞总结及tscan poc分享

				
			

			

				

					lza20001103的博客
				

				

					05-22
					
					1679
					
				

			

		

		

			
				
Jeecg漏洞总结及tscan poc分享

			
		

	



		

			
		



	

		

			

				
					
JEECG-BOOT存在SQL注入漏洞[附POC]

				
			

			

				

					Liyu_6618的博客
				

				

					02-01
					
					2512
					
				

			

		

		

			
				
JEECG-BOOT存在SQL注入漏洞[附POC]


			
		

	





	

		

			

				
					
CVE-2023-1454注入分析复现

				
			

			

				

					蚁景网安学院
				

				

					07-17
					
					2126
					
				

			

		

		

			
				
JeecgBoot的代码生成器是一种可以帮助开发者快速构建企业级应用的工具,它可以通过一键生成前后端代码,无需写任何代码,让开发者更多关注业务逻辑。

			
		

	





	

		

			

				
					
Jeecg-Boot 未授权SQL注入漏洞CVE-2023-1454

				
			

			

				

					qq_50854662的博客
				

				

					05-24
					
					1997
					
				

			

		

		

			
				
Jeecg-Boot 未授权SQL注入漏洞CVE-2023-1454

			
		

	





	

		

			

				
					
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!

				
			

			

				

					记录开发和安全学习过程中的点点滴滴
				

				

					04-22
					
					3762
					
				

			

		

		

			
				
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.

			
		

	





	

		

			

				
					
2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91个..实时更新中...)

				
			

			

				

					
				

				

					08-21
					
					4739
					
				

			

		

		

			
				
2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总,截止目前已更新到91个漏洞,本文会实时更新,有新的漏洞都会加上

			
		

	





	

		

			

				
					
【传送点】上千漏洞复现复现集合 exp poc 持续更新

				
			

			

				

					失心少年
				

				

					11-28
					
					4535
					
				

			

		

		

			
				
漏洞复现】OpenTSDB 2.4.0 命令注入(CVE-2020-35476)漏洞复现【漏洞复现】熊海cms 存在sql注入 附poc【漏洞复现】Array VPN任意文件读取漏洞漏洞复现】好视通视频会议系统(fastmeeting) toDownload.do接口存在任意文件读取漏洞 附POC【漏洞复现】金蝶云星空管理中心 ScpSupRegHandler接口存在任意文件上传漏洞 附POC【漏洞复现】DPTech VPN存在任意文件读取漏洞

			
		

	





	

		

			

				
					
JEECGBOOT代码SQL漏洞处理方案.zip

				
			

			

				

					06-21
				

			

		

		

			
				
漏洞编码:HW21-0499
产品名字:JeecgBoot低代码平台
问题: JEECG系统存在SQL注入0day漏洞


			
		

	





	

		

			

				
					
Goby漏洞更新 | jeecg-boot 未授权SQL注入漏洞CVE-2023-1454

				
			

			

				

					m0_46699477的博客
				

				

					03-24
					
					2159
					
				

			

		

		

			
				
jeecg-boot 未授权SQL注入漏洞CVE-2023-1454

			
		

	





	

		

			

				
					
Jeecg-boot常见漏洞汇总

					
最新发布

				
			

			

				

					yy1715713348的博客
				

				

					07-09
					
					918
					
				

			

		

		

			
				
在网络安全的世界里,停止学习就意味着落后,共勉!

			
		

	





	

		

			

				
					
Goby漏洞更新 jeecg-boot 未授权SQL注入漏洞CVE-2024-1454

				
			

			

				

					2401_84247760的博客
				

				

					04-12
					
					1227
					
				

			

		

		

			
				
感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**

			
		

	





	

		

			

				
					
JeecgBoot getTotalData SQL注入漏洞复现(CVE-2024-48307)

				
			

			

				

					iSee857的博客
				

				

					12-02
					
					1553
					
				

			

		

		

			
				
JeecgBoot v3.7.1中的/onlDragDatasetHead/getTotalData组件发现存在SQL注入漏洞。攻击者可以无需权限利用jimureport-dashboard-spring-boot-starter-1.8.1-beta.jar查询数据库,导致数据库信息泄露。

			
		

	





	

		

			

				
					
Jeecg-Boot qurestSql-SQL注入漏洞

				
			

			

				

					weixin_43567873的博客
				

				

					03-11
					
					570
					
				

			

		

		

			
				
Jeecg-Boot qurestSql-SQL注入漏洞

			
		

	





	

		

			

				
					
Jeecg-Boot /jeecg-boot/jmreport/qurestSql接口sql注入漏洞复现

				
			

			

				

					weixin_45908624的博客
				

				

					09-11
					
					3915
					
				

			

		

		

			
				
JeecgBoot 前台接口SQL注入漏洞

			
		

	





	

		

			

				
					
JeecgBoot 远程命令执行漏洞:网络安全分析

				
			

			

				

					YtyVerilog的博客
				

				

					09-24
					
					1452
					
				

			

		

		

			
				
为了保护应用程序和服务器的安全,开发者应该采取适当的安全措施,如输入验证和过滤、使用安全的API、文件上传验证、最小权限原则和及时更新。然而,在早期版本的JeecgBoot存在一个远程代码执行漏洞,该漏洞可能导致攻击者执行任意系统命令,进而危及整个应用程序和服务器的安全。远程代码执行漏洞是Web应用程序中常见的安全漏洞之一,它允许攻击者通过恶意构造的输入来执行任意的系统命令,从而导致潜在的安全风险。输入验证和过滤:对于用户的输入,特别是涉及到执行系统命令的地方,应该进行充分的验证和过滤。

			
		

	





	

		

			

				
					
jeecg-boot代码审计

				
			

			

				

					03-25
				

			

		

		

			
				
### Jeecg-Boot 代码审计与安全性最佳实践

#### 1. 权限控制机制审查
Jeecg-Boot 的权限管理模块可能存在绕过风险,特别是在 `JimuReportTokenInterceptor` 类中的 token 验证逻辑[^2]。为了防止类似的权限绕过漏洞,应实施严格的访问控制策略:
- 对敏感接口(如 `/jmreport/*` 路由)增加细粒度的权限校验。
- 使用基于角色的访问控制 (RBAC) 或属性基访问控制 (ABAC),确保只有经过授权的用户才能访问特定资源。

#### 2. 输入验证与过滤
输入验证不足可能导致诸如 SQL 注入、表达式注入等问题。例如,在处理 `queryFieldBySql` 接口时,如果参数未被充分清理,则可能引发远程命令执行 (RCE)[^3]。因此,需采取以下措施:
- 应用白名单验证方法,仅允许预定义的安全字符集通过。
- 利用专业的库或框架功能对用户提交的数据进行转义和清洗,比如 Java 中的 OWASP ESAPI 工具。

```java
// 示例:使用正则表达式限制输入内容
public boolean validateInput(String input){
    Pattern pattern = Pattern.compile("[a-zA-Z0-9]+");
    Matcher matcher = pattern.matcher(input);
    return matcher.matches();
}
```

#### 3. 日志记录与监控
完善的日志系统有助于及时检测异常行为并响应潜在威胁。针对 Jeecg-Boot,可考虑如下改进方案:
- 增强 API 请求的日志级别,特别是对于高危操作(如数据库查询),应当保留完整的上下文信息以便后续追踪。
- 实施实时告警机制,当发现可疑活动时立即通知管理员。

#### 4. 升级依赖项至最新稳定版
第三方组件往往成为攻击者突破防线的关键入口之一。定期更新所使用的开源软件到其最新的修复版本能够有效减少已知漏洞带来的影响。例如 CVE-2023-4450 就是因为旧版本存在缺陷才导致 RCE 发生。

#### 5. 开展全面渗透测试
除了静态代码分析外,动态渗透测试也是不可或缺的一环。它可以帮助识别那些难以单纯依靠人工审核察觉出来的深层次问题。模拟真实世界的黑客手法去尝试攻破应用边界,并据此调整防护手段。

---

### 结论
通过对上述几个方面的综合考量与优化,可以显著提升 Jeecg-Boot 系统的整体安全性水平。当然这只是一个概括性的指导方针,具体情况还需要结合实际业务需求做进一步细化定制。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
安全攻防赵小龙

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值