JeecgBoot onlDragDatasetHead/getTotalData SQL注入漏洞复现(CVE-2024-48307)

已于 2024-12-03 22:25:37 修改
阅读量1.8k 收藏 2
点赞数 7
CC 4.0 BY-SA版权
分类专栏: 漏洞复现v1 文章标签: 安全 web安全
于 2024-12-03 22:20:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41904294/article/details/144225439

0x01 产品简介

Jeecg Boot(或者称为 Jeecg-Boot)是一款基于代码生成器的开源企业级快速开发平台,专注于开发后台管理系统、企业信息管理系统(MIS)等应用。它提供了一系列工具和模板,帮助开发者快速构建和部署现代化的 Web 应用程序。

0x02 漏洞概述

JeecgBoot onlDragDatasetHead/getTotalData 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

0x03 影响范围

jimureport-spring-boot-starter.version <= 1.8.1

<
了解本专栏 订阅专栏 解锁全文 超级会员免费看
JeecgBoot jmreport/queryFieldBySql RCE漏洞复现
0xSec
12-12 3401
Jeecg Boot jmreport/queryFieldBySql接口存在代码执行漏洞,攻击者可以通过操纵应用程序的模板引擎来执行恶意代码或获取敏感信息。这种漏洞可能会导致整个应用程序被入侵,造成严重的安全问题。
JeecgBoot jmreport/loadTableData RCE漏洞复现(CVE-2023-41544)
0xSec
01-31 2231
JeecgBootjmreport/loadTableData接口存在FreeMarker SSTI注入漏洞,攻击者可以通过操纵应用程序的模板引擎来执行恶意代码或获取敏感信息。这种漏洞可能会导致整个应用程序被入侵,造成严重的安全问题。
Jeecg漏洞总结及tscan poc分享
lza20001103的博客
05-22 1782
Jeecg漏洞总结及tscan poc分享
jeect-boot queryFieldBySql接口RCE漏洞(CVE-2023-4450)复现
fly夏天的博客
03-20 9087
jeect-boot queryFieldBySql接口RCE漏洞(CVE-2023-4450)复现
jeect-boot积木报表 queryFieldBySql接口RCE漏洞CVE-2023-4450)
qq_23003811的博客
07-23 1732
jeect-boot积木报表由于未授权的 API /jmreport/queryFieldBySql 使用了 freemarker 解析 SQL 语句从而导致了 RCE 漏洞的产生。1、RCE任意命令执行。
JeecgBoot getTotalData SQL注入漏洞复现CVE-2024-48307
iSee857的博客
12-02 1572
JeecgBoot v3.7.1中的/onlDragDatasetHead/getTotalData组件发现存在SQL注入漏洞。攻击者可以无需权限利用jimureport-dashboard-spring-boot-starter-1.8.1-beta.jar查询数据库,导致数据库信息泄露。
JeecgBoot接口getTotalData存在未授权SQL注入漏洞(CVE-2024-48307)
缘梦未来的博客
12-02 798
JeecgBoot是一款基于代码生成器的 低代码开发平台 拥有零代码能力! 采用前后端分离架构:SpringBoot2.x,Ant Design&Vue,Mybatis-plus,Shiro,JWT。 强大的代码生成器让前后端代码一键生成,无需写任何代码!
jeecg-boot getTotalData接口存在SQL注入漏洞CVE-2024-48307
nnn2188185的博客
12-03 296
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发JeecgBoot 是一款开源的的低代码开发平台。
Jeecg-Boot /jeecg-boot/jmreport/qurestSql接口sql注入漏洞复现
weixin_45908624的博客
09-11 3934
JeecgBoot 前台接口SQL注入漏洞
【春秋云境】CVE-2023-4450 jeect-boot queryFieldBySql接口RCE漏洞
HMX404的博客
04-15 1952
JeecgBoot 是一个开源的低代码开发平台,Jimureport 是低代码报表组件之一。当前漏洞在 1.6.1 以下的 Jimureport 组件库中都存在,由于未授权的 API使用了 freemarker 解析 SQL 语句从而导致了 RCE 漏洞的产生。
JEECGBOOT代码SQL漏洞处理方案.zip
06-21
漏洞编码:HW21-0499 产品名字:JeecgBoot低代码平台 问题: JEECG系统存在SQL注入0day漏洞
漏洞复现JeecgBoot 积木报表 queryFieldBySql sql注入漏洞
qq_48368964的博客
10-01 2499
JeecgBoot 积木报表 queryFieldBySq| 接口存在一个 SQL 注入漏洞,通过这个漏洞可以操纵服务器的数据库。这意味着不法分子可以利用这个漏洞来获取对数据库的完全控制权,从而查看、修改甚至删除数据库中的数据,严重威胁系统的安全性。积木报表,是一款免费的企业级Web报表工具,像搭建积木一样在线设计报表!功能涵盖,数据报表、打印设计、图表报表、大屏设计等!title="Jeecg-Boot 快速开发平台" || body="积木报表"2、通过防火墙等安全设备设置访问策略,设置白名单访问。
JeecgBoot JimuReport testConnection RCE漏洞复现
0xSec
12-12 2956
JeecgBoot 的 jeecg-boot/jmreport/testConnection 未进行身份验证,并且未对 dbUrl 参数进行限制,当应用端存在H2数据库驱动依赖时,攻击者发送包含恶意 dbUrl 参数的 http 请求远程执行任意代码。
JeecgBoot 权限绕过致AviatorScript表达式注入漏洞复现
0xSec
10-08 1521
JeecgBoot 存在权限绕过漏洞,未经身份验证的远程攻击者可构造jmLink、sharetoken参数或JmReport-Share-Token请求头绕过权限认证访问后台接口,进一步深入利用可实现远程代码执行、木马植入,导致服务器失陷等问题。
[漏洞复现]JeecgBoot queryFieldBySql注入内存马利用及JDBC RCE复现
LiangYueSec的博客
07-02 4490
[漏洞复现]JeecgBoot queryFieldBySql注入内存马利用及JDBC RCE复现
CVE-2023-1454注入分析复现
蚁景网安学院
07-17 2131
JeecgBoot的代码生成器是一种可以帮助开发者快速构建企业级应用的工具,它可以通过一键生成前后端代码,无需写任何代码,让开发者更多关注业务逻辑。
漏洞复现--JeecgBoot testConnection 远程代码执行
qq_53003652的博客
12-20 5698
JeecgBoot 是一款基于代码生成器的低代码开发平台,该产品存在testConnection 远程命令执行漏洞JeecgBoot积木报表。
[漏洞复现]JeecgBoot AviatorScript表达式注入漏洞复现
LiangYueSec的博客
08-08 2305
[漏洞复现]JeecgBoot AviatorScript表达式注入漏洞复现
jeecg
最新发布
06-13
### Jeecg框架的使用指南与解决方案 Jeecg框架是一款功能强大的低代码开发平台,旨在帮助企业快速构建企业级应用系统。以下是对Jeecg框架的使用指南和解决方案的详细介绍: #### 1. 框架概述 Jeecg框架采用前后端分离架构,支持SpringBoot2.x、Ant Design&Vue、Mybatis-plus、Shiro、JWT等技术栈[^5]。它提供了完整的框架支持,包括安全机制、数据处理、API管理等功能,能够确保项目的一致性和标准化,便于团队协作和后期维护[^1]。 #### 2. 快速入门 Jeecg框架提供了一套完善的入门指南,帮助开发者快速上手并构建项目。以下是具体的步骤: - **环境准备**:确保安装了Java JDK、Maven等必要工具。 - **项目初始化**:通过Jeecg提供的代码生成器,一键生成项目的基础结构[^3]。 - **启动项目**: - Windows下启动命令:`java -jar jeecg-system-start-3.7.0.jar`[^4]。 - Linux下后台启动命令:`nohup java -jar jeecg-system-start-3.7.0.jar >catalina.out 2>&1 &`[^4]。 #### 3. 主要特点 Jeecg框架的主要特点包括但不限于以下几点: - **低代码开发**:通过在线表单配置、移动配置能力、工作流配置等功能,实现零代码开发。 - **代码生成器**:支持前后端代码一键生成,减少手动编码的工作量[^5]。 - **灵活性**:在快速开发的同时,保留了足够的灵活性以应对复杂业务需求[^4]。 #### 4. 适用人群 Jeecg框架适用于多种背景的用户,包括但不限于: - 初级Java开发者:通过减少手动编码,集中精力学习更多框架和业务逻辑[^2]。 - 高级开发者或架构师:在项目初期快速搭建原型或骨架[^2]。 - 企业:规范化开发流程,统一代码风格,提高团队协作效率。 #### 5. 解决方案 Jeecg框架可以为以下场景提供解决方案: - **管理系统**:快速构建企业内部管理系统,涵盖用户管理、权限控制等功能[^3]。 - **报表系统**:通过在线图表配置和报表配置能力,满足复杂的报表需求。 - **移动端应用**:支持移动端应用的快速开发,适配多种设备。 ```python # 示例:通过代码生成器生成基础代码 from jeecg_code_generator import generate_code generate_code(project_name="example_project", template="springboot-vue") ``` #### 6. 常见问题解决 - **如何关闭项目**:使用命令`ps -ef|grep java`查找进程号,并通过`kill`命令关闭进程。 - **版本信息**:Jeecg Boot Version: 3.7.0, Spring Boot Version: 2.7.18(v2.7.18)[^4]。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值