Jeecg-boot JDBC任意代码执行漏洞

漏洞描述

JeecgBoot是一款开源的企业级低代码平台,提供了表单、视图、流程等一键生成代码功能,目前在GitHub具有 35.5k star。

在V3版本中,由于未对JDBC连接字符串进行限制,未授权的攻击者可配置恶意的连接字符串,通过发送Http请求远程执行任意代码。

漏洞名称 Jeecg-boot JDBC任意代码执行漏洞
漏洞类型 代码注入
发现时间 2023/8/11
漏洞等级 高危
漏洞影响广度 广
利用所需权限 无需权限
利用难度
POC 未公开

复现过程

复现版本:jeecg-boot v3.5.3
在这里插入图片描述

影响范围

org.jeecgframework.boot:jeecg-boot-parent@[3.0, 3.5.3]

修复方案

官方暂未修复此漏洞,建议避免应用直接对外暴露。

关于墨菲安全

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值