Jeecg-Boot 存在前台SQL注入漏洞【CVE-2023-1454】

已于 2023-07-02 11:10:43 修改
阅读量5.5k 收藏 11
点赞数 5
分类专栏: 网络安全漏洞复现 文章标签: rxjava android
于 2023-07-02 10:33:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/holyxp/article/details/131498546
版权

Jeecg-Boot 存在前台SQL注入漏洞【CVE-2023-1454】

一、Jeecg-Boot 简介

eecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发! JeecgBoot引领新低代码开发模式 OnlineCoding-> 代码生成器-> 手工MERGE, 帮助Java项目解决70%的重复工作,让开发更多关注业务,既能快速提高效率,节省研发成本,同时又不失灵活性!一系列低代码能力:Online表单、Online报表、Online图表、表单设计、流程设计、报表设计、大屏设计 等等

二、漏洞描述

jeecg-boot 3.5.0版本存在SQL注入漏洞,该漏洞源于文件 jmreport/qurestSql 存在安全问题, 通过参数 apiSelectId 导致SQL注入。
CVE-2023-1454
CNNVD-202303-1399

三、影响版本

jeecg-boot 3.5.0版本

了解本专栏 订阅专栏 解锁全文 超级会员免费看
JeecgBoot JimuReport testConnection RCE漏洞复现
0xSec
12-12 2815
JeecgBootjeecg-boot/jmreport/testConnection 未进行身份验证,并且未对 dbUrl 参数进行限制,当应用端存在H2数据库驱动依赖时,攻击者发送包含恶意 dbUrl 参数的 http 请求远程执行任意代码。
Jeecg-Boot 存在前台SQL注入漏洞CVE-2023-1454
nnn2188185的博客
04-10 6839
jeecg-boot 3.5.0版本存在SQL注入漏洞,该漏洞源于文件 jmreport/qurestSql 存在安全问题, 通过参数 apiSelectId 导致SQL注入
JEECG-BOOT存在SQL注入漏洞[附POC]
Liyu_6618的博客
02-01 2436
JEECG-BOOT存在SQL注入漏洞[附POC]
Jeecg漏洞总结及tscan poc分享
最新发布
YJ_12340的博客
03-26 2034
jeecgboot是一款基于代码生成器的低代码开发平台,集成完善的工作流、表单、报表、大屏的平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,成熟的微服务解决方案。 最近的攻防演练中经常遇到部署该服务的系统,而且大部分都有可利用的漏洞点,故整理一篇漏洞总结文章方便日后查阅,并且根据tscan脚本规则编写了其中一部分的poc。
CVE-2023-1454注入分析复现
蚁景网安学院
07-17 2090
JeecgBoot的代码生成器是一种可以帮助开发者快速构建企业级应用的工具,它可以通过一键生成前后端代码,无需写任何代码,让开发者更多关注业务逻辑。
Jeecg-Boot 未授权SQL注入漏洞CVE-2023-1454
qq_50854662的博客
05-24 1968
Jeecg-Boot 未授权SQL注入漏洞CVE-2023-1454
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 3381
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91个..实时更新中...)
08-21 4535
2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总,截止目前已更新到91个漏洞,本文会实时更新,有新的漏洞都会加上
【传送点】上千漏洞复现复现集合 exp poc 持续更新
失心少年
11-28 4508
漏洞复现】OpenTSDB 2.4.0 命令注入(CVE-2020-35476)漏洞复现【漏洞复现】熊海cms 存在sql注入 附poc【漏洞复现】Array VPN任意文件读取漏洞漏洞复现】好视通视频会议系统(fastmeeting) toDownload.do接口存在任意文件读取漏洞 附POC【漏洞复现】金蝶云星空管理中心 ScpSupRegHandler接口存在任意文件上传漏洞 附POC【漏洞复现】DPTech VPN存在任意文件读取漏洞
Goby漏洞更新 | jeecg-boot 未授权SQL注入漏洞CVE-2023-1454
m0_46699477的博客
03-24 2142
jeecg-boot 未授权SQL注入漏洞CVE-2023-1454
JEECGBOOT代码SQL漏洞处理方案.zip
06-21
漏洞编码:HW21-0499 产品名字:JeecgBoot低代码平台 问题: JEECG系统存在SQL注入0day漏洞
Goby漏洞更新 jeecg-boot 未授权SQL注入漏洞CVE-2024-1454
2401_84247760的博客
04-12 1193
感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
JeecgBoot getTotalData SQL注入漏洞复现(CVE-2024-48307)
iSee857的博客
12-02 1470
JeecgBoot v3.7.1中的/onlDragDatasetHead/getTotalData组件发现存在SQL注入漏洞。攻击者可以无需权限利用jimureport-dashboard-spring-boot-starter-1.8.1-beta.jar查询数据库,导致数据库信息泄露。
Jeecg-Boot qurestSql-SQL注入漏洞
weixin_43567873的博客
03-11 531
Jeecg-Boot qurestSql-SQL注入漏洞
JeecgBoot 远程命令执行漏洞:网络安全分析
YtyVerilog的博客
09-24 1409
为了保护应用程序和服务器的安全,开发者应该采取适当的安全措施,如输入验证和过滤、使用安全的API、文件上传验证、最小权限原则和及时更新。然而,在早期版本的JeecgBoot存在一个远程代码执行漏洞,该漏洞可能导致攻击者执行任意系统命令,进而危及整个应用程序和服务器的安全。远程代码执行漏洞是Web应用程序中常见的安全漏洞之一,它允许攻击者通过恶意构造的输入来执行任意的系统命令,从而导致潜在的安全风险。输入验证和过滤:对于用户的输入,特别是涉及到执行系统命令的地方,应该进行充分的验证和过滤。
OSCS开源安全周报第 55 期:JeecgBoot 远程代码执行漏洞
murphysec的博客
08-14 968
OSCS 社区共收录安全漏洞 11 个,公开漏洞值得关注的是 JeecgBoot 远程代码执行漏洞、企业微信私有化后台API未授权访问漏洞、WPS Office 存在代码执行漏洞(MPS-3pcb-l4mv)、Microsoft Exchange Server 远程代码执行漏洞(CVE-2023-38182)、Smartbi未授权设置Token回调地址获取管理员权限(MPS-exyg-uhi8)。Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。
漏洞复现】Jeecg-Boot SQL注入漏洞(CVE-2023-34659)
失心少年
09-26 1160
强大的代码生成器让前后端代码一键生成,实现低代码开发!JeecgBoot引领新低代码开发模式 OnlineCoding-> 代码生成器-> 手工MERGE, 帮助Java项目解决70%的重复工作,让开发更多关注业务,既能快速提高效率,节省研发成本,同时又不失灵活性!技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习,禁止用于其他!
JeecgBoot接口getTotalData存在未授权SQL注入漏洞(CVE-2024-48307)
缘梦未来的博客
12-02 727
JeecgBoot是一款基于代码生成器的 低代码开发平台 拥有零代码能力! 采用前后端分离架构:SpringBoot2.x,Ant Design&Vue,Mybatis-plus,Shiro,JWT。 强大的代码生成器让前后端代码一键生成,无需写任何代码!
jeecg-boot代码审计
03-25
例如 CVE-2023-4450 就是因为旧版本存在缺陷才导致 RCE 发生。 #### 5. 开展全面渗透测试 除了静态代码分析外,动态渗透测试也是不可或缺的一环。它可以帮助识别那些难以单纯依靠人工审核察觉出来的深层次问题。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安全攻防赵小龙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值