jeecg-boot/积木报表系统testConnection接口远程命令执行漏洞(含批量验证poc)

已于 2024-04-03 14:55:46 修改
阅读量135 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-04-03 14:55:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/137345926
版权

简介

JeecgBoot 是一款基于代码生成器的低代码开发平台,零代码开发!采用前后端分离架构:SpringBoot2.x,Ant Design&Vue,Mybatis-plus,Shiro,JWT。
积木报表积木报表是其中的低代码报表组件。是一款免费的数据可视化报表,含报表和大屏设计,像搭建积木一样在线设计报表!功能涵盖,数据报表、打印设计、图表报表、大屏设计等。

漏洞描述

jeecg-boot/jmreport/testConnection Api接口未进行身份验证,并且未对 dbUrl 参数进行限制,导致攻击者可以向指定地址发起JDBC请求。

影响版本

JeecgBoot@[3.0, 3.5.3]
 


Fofa查询语句:

title="JeecgBoot 企业级低代码平台"

漏洞复现

向存在漏洞的目标地址向靶场发送POST数据包,执行命令:

echo "deti"

构造POST数据包:

POST /jmreport/testConnection HTTP/1.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
JEECGBOOT代码SQL漏洞处理方案.zip
06-21
漏洞编码:HW21-0499 产品名字:JeecgBoot低代码平台 问题: JEECG系统存在SQL注入0day漏洞
Jeecg-Boot 未授权SQL注入漏洞(CVE-2023-1454)
qq_27536045的博客
04-04 4659
原创文章创作不易,个人博客charis3306.top。
Goby漏洞更新 jeecg-boot 未授权SQL注入漏洞(CVE-2024-1454)
最新发布
2401_84247760的博客
04-12 557
感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
Jeecg-Boot 存在前台SQL注入漏洞【CVE-2023-1454】
holyxp的博客
07-02 4449
eecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发!JeecgBoot引领新低代码开发模式 OnlineCoding-> 代码生成器-> 手工MERGE, 帮助Java项目解决70%的重复工作,让开发更多关注业务,既能快速提高效率,节省研发成本,同时又不失灵活性!
Jeecg-Boot /jeecg-boot/jmreport/qurestSql接口sql注入漏洞复现
weixin_45908624的博客
09-11 2719
JeecgBoot 前台接口SQL注入漏洞
漏洞分析|jeecg-boot 未授权SQL注入漏洞(CVE-2023-1454)
xuandaoren的博客
12-31 2580
jeecg-boot-base-core/src/main/java/org/jeecg/common/util/SqlInjectionUtil.java中增加了对sql语句的正则。JeecgBoot的代码生成器是一种可以帮助开发者快速构建企业级应用的工具,它可以通过一键生成前后端代码,无需写任何代码,让开发者更多关注业务逻辑。更改了72处的文件,其中需要注意db/其他数据库/jeecgboot-sqlserver2019.sql中重写了数据插入的方法。建议更新当前系统或软件至最新版,完成漏洞的修复。
CVE-2023-38831 WinRAR 远程代码执行漏洞 0Day PoC
08-25
CVE-2023-38831 漏洞位于ZIP文件的处理过程,攻击者可以制作恶意.ZIP或.RAR压缩文件,其中包无害文件(例如.jpg、.txt或PDF文件等)及恶意执行文件,并以无害文件名为文件夹命名。当用户点击并试图解压缩看似合法...
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
09-02
WinRAR 拥有超过 500 亿用户,面临新漏洞(CVE-2023-40477、CVE-2023-38831)。 今天,我们首次展示:CVE-2023-40477 的 PoC。 尽管 RCE 被认为是可利用的,但由于多种原因,其在实现过程中看起来并不乐观。 我们在...
apache stucts 2远程命令执行漏洞 (CVE-2021-31805) poc检测工具
04-21
检测一个url命令为 python3 CVE-2022-22954-POC.py -u http://test.com 检测多个url命令为 python3 CVE-2022-22954-POC.py -f file.txt(把url按一行一个保存到file.txt中) 结果有可能如下
Jeecg-Boot 存在前台SQL注入漏洞(CVE-2023-1454)
nnn2188185的博客
04-10 5983
jeecg-boot 3.5.0版本存在SQL注入漏洞,该漏洞源于文件 jmreport/qurestSql 存在安全问题, 通过参数 apiSelectId 导致SQL注入。
jeecg-boot/积木报表系统testConnection接口存在远程命令执行漏洞POC
nnn2188185的博客
12-19 1772
JeecgBoot 是一款开源的的低代码开发平台,积木报表是其中的低代码报表组件。
JeecgBoot JimuReport testConnection RCE漏洞复现
0xSec
12-12 1527
JeecgBoot 的 jeecg-boot/jmreport/testConnection 未进行身份验证,并且未对 dbUrl 参数进行限制,当应用端存在H2数据库驱动依赖时,攻击者发送包恶意 dbUrl 参数的 http 请求远程执行任意代码。
Jeecg-boot JDBC任意代码执行漏洞
murphysec的博客
08-13 2243
JeecgBoot是一款开源的企业级低代码平台,提供了表单、视图、流程等一键生成代码功能,目前在GitHub具有 35.5k star。
漏洞复现】JeecgBoot testConnection 远程命令执行漏洞
weixin_45530380的博客
12-27 1341
漏洞复现】JeecgBoot testConnection 远程命令执行漏洞
Goby漏洞更新 | jeecg-boot 未授权SQL注入漏洞(CVE-2023-1454)
m0_46699477的博客
03-24 1917
jeecg-boot 未授权SQL注入漏洞(CVE-2023-1454)
nacos身份认证绕过漏洞批量检测poc
06-23
通过进行nacos身份认证绕过漏洞批量检测Poc,可以及时发现和修复nacos系统中的漏洞问题,从而提高系统安全性和稳定性。同时,作为云原生的重要组件之一,nacos系统安全问题也需要得到更高的重视和加强保护。 #...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值