漏洞描述
JeecgBoot是一款开源的企业级低代码平台,提供了表单、视图、流程等一键生成代码功能,目前在GitHub具有 35.5k star。
在V3版本中,由于未对JDBC连接字符串进行限制,未授权的攻击者可配置恶意的连接字符串,通过发送Http请求远程执行任意代码。
漏洞名称 | Jeecg-boot JDBC任意代码执行漏洞 |
---|---|
漏洞类型 | 代码注入 |
发现时间 | 2023/8/11 |
漏洞等级 | 高危 |
漏洞影响广度 | 广 |
利用所需权限 | 无需权限 |
利用难度 | 低 |
POC | 未公开 |
复现过程
复现版本:jeecg-boot v3.5.3
影响范围
org.jeecgframework.boot:jeecg-boot-parent@[3.0, 3.5.3]
修复方案
官方暂未修复此漏洞,建议避免应用直接对外暴露。