Jeecg-Boot 存在前台SQL注入漏洞(CVE-2023-1454)

已于 2023-04-19 23:02:22 修改
阅读量6k 收藏 3
点赞数 2
分类专栏: 漏洞复现 文章标签: sql 数据库 web安全
于 2023-04-10 20:15:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/130067884
版权

文章目录

Jeecg-Boot 存在前台SQL注入漏洞(CVE-2023-1454)

1. Jeecg-Boot 简介

微信公众号搜索:南风漏洞复现文库
南风网络安全公众号首发

eecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发! JeecgBoot引领新低代码开发模式 OnlineCoding-> 代码生成器-> 手工MERGE, 帮助Java项目解决70%的重复工作,让开发更多关注业务,既能快速提高效率,节省研发成本,同时又不失灵活性!一系列低代码能力:Online表单、Online报表、Online图表、表单设计、流程设计、报表设计、大屏设计 等等

2.漏洞描述

jeecg-boot 3.5.0版本存在SQL注入漏洞,该漏洞源于文件 jmreport/qurestSql 存在安全问题, 通过参数 apiSelectId 导致SQL注入。
CVE-2023-1454
CNNVD-202303-1399

3.影响版本

jeecg-boot 3.5.0版本

4.fofa查询语句

body=“jeecg-boot”

5.漏洞复现</

了解本专栏 订阅专栏 解锁全文 超级会员免费看
sublime88
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
CVE-2023-1454Jeecg-Boot SQL注入漏洞复现
薛定谔嘚喵博客
09-15 1144
JeecgBoot 受影响版本中由于积木报表 /jeecg-boot/jmreport/queryFieldBySql Api 接口未进行身份校验,使用 Freemarker 处理用户用户传入的 sql 参数,未经授权的攻击者可发送包含恶意 sql 参数的 http 请求,通过 SSTI 在应用端执行任意代码。
Goby漏洞更新 jeecg-boot 未授权SQL注入漏洞CVE-2024-1454
2401_84247760的博客
04-12 729
感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
Jeecg-Boot 未授权SQL注入漏洞CVE-2023-1454
qq_50854662的博客
05-24 1640
Jeecg-Boot 未授权SQL注入漏洞CVE-2023-1454
漏洞复现】Jeecg-boot SQL注入/命令执行
qq_45276174的博客
05-14 829
【代码】【漏洞复现】Jeecg-boot SQL注入/命令执行。
Jeecg-Boot 存在前台SQL注入漏洞CVE-2023-1454
holyxp的博客
07-02 4739
eecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发!JeecgBoot引领新低代码开发模式 OnlineCoding-> 代码生成器-> 手工MERGE, 帮助Java项目解决70%的重复工作,让开发更多关注业务,既能快速提高效率,节省研发成本,同时又不失灵活性!
Jeecg-Boot /jeecg-boot/jmreport/qurestSql接口sql注入漏洞复现
weixin_45908624的博客
09-11 2893
JeecgBoot 前台接口SQL注入漏洞
Goby漏洞更新 | jeecg-boot 未授权SQL注入漏洞CVE-2023-1454
m0_46699477的博客
03-24 1940
jeecg-boot 未授权SQL注入漏洞CVE-2023-1454
CVE-2023-1454 Jeecg-Boot-qurestSql-SQL-漏洞检测
m0_66376444的博客
04-11 1350
JeecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。JeecgBoot qurestSql存在SQL注入漏洞,攻击者可以从其中获取数据库权限。访问路径:/jeecg-boot/jmreport/qurestSql。初步了解,存在这个路径可能会存在sql漏洞。出现这个说明存在漏洞
cve-2023-1454
04-24
漏洞描述: JeecgBoot是一...影响范围: 攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
JEECGBOOT代码SQL漏洞处理方案.zip
06-21
漏洞编码:HW21-0499 产品名字:JeecgBoot低代码平台 问题: JEECG系统存在SQL注入0day漏洞
WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661.pdf
09-27
【WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661】是一个近期发现的安全问题,涉及到WordPress的核心函数`WP_Query`。这个漏洞并非直接的SQL注入,但因为`WP_Query`经常被WordPress插件广泛使用,所以其潜在的危害...
JEECG-BOOT存在SQL注入漏洞[附POC]
Liyu_6618的博客
02-01 1332
JEECG-BOOT存在SQL注入漏洞[附POC]
Jeecg-boot JDBC任意代码执行漏洞
murphysec的博客
08-13 2293
JeecgBoot是一款开源的企业级低代码平台,提供了表单、视图、流程等一键生成代码功能,目前在GitHub具有 35.5k star。
JeecgBoot JimuReport testConnection RCE漏洞复现
0xSec
12-12 1687
JeecgBoot 的 jeecg-boot/jmreport/testConnection 未进行身份验证,并且未对 dbUrl 参数进行限制,当应用端存在H2数据库驱动依赖时,攻击者发送包含恶意 dbUrl 参数的 http 请求远程执行任意代码。
SQL Server内置的HTAP技术
最新发布
2401_85789772的博客
07-22 616
假设用户建了一个行存索引和列存索引组合的表,事务插入数据时,会同时插入行存和Delta Store,Delta Store达到100W行阈值后冻结,tuple-mover后台线程会将其中较冷的数据迁移到Main Store,无论是过去的传统数仓,还是现在的大数据技术栈,都存在这个时效性问题。根据数仓场景的特点,SQL Server列存的开销其实可以接受,然后使用类Delta-Main架构也是比较主流的做法,但是到了HTAP的场景,整个数据库需要支撑高并发的查询和更新,列存的开销就会被放大。
如何修复 jackson-databind-2.15.2.jar 的CVE-2023-35116漏洞
07-14
对于修复CVE-2023-35116漏洞,你可以按照以下步骤进行操作: 1. 更新库文件:首先,确保你的项目中使用的jackson-databind库文件已经升级到2.15.2版本。你可以从官方网站或开发者提供的资源中下载最新版本的库文件。 2. 检查依赖关系:检查你的项目中是否有其他依赖项使用了旧版本的jackson-databind库文件。如果有,确保将它们更新到最新版本,以避免潜在的漏洞风险。 3. 监控漏洞通告:持续关注有关CVE-2023-35116漏洞的最新信息和修复措施。开发者和维护者可能会发布修复补丁或更新的指导,你应该及时应用这些修复措施。 4. 加强安全措施:除了及时更新库文件,还应该采取其他安全措施来减少风险。例如,审查代码中的反序列化操作,限制用户输入的可信度,以及实施适当的输入验证和过滤等。 需要注意的是,每个项目和环境都有其独特性,因此你可能需要根据具体情况进行定制化的修复措施。建议在执行升级和修复操作之前,在测试环境中进行充分的测试和验证,以确保应用程序的稳定性和完整性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值