JimuReport v1.6.1版本发布,修复Freemarker模板注入高危漏洞

最新推荐文章于 2024-11-11 21:37:19 发布
最新推荐文章于 2024-11-11 21:37:19 发布
阅读量558 收藏
点赞数
文章标签: 数据可视化 数据分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangdaiscott/article/details/132313016
版权
该博客记录了2023年8月16日1.6.1版本的升级日志。修复了Freemarker注入高危漏洞,可避免远程命令执行。还处理了echarts提示框位置、饼图数值显示等多个问题。同时提到集成依赖情况,最新依赖未上传maven官仓,可配置jeecg的Maven私服。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.6.1

2023-08-16

更新
#升级日志

【漏洞通知】修复Freemarker注入漏洞,危害等级:高危

描述:Freemarker模板注入导致远程命令执行, 远程攻击者可利用该漏洞调用在系统上执行任意命令。

Issues处理
  • echarts 提示框的位置问题 #1630
  • 饼图数值显示问题 #1814
  • 分组支持自定义中文排序 #1539
  • 分组排序 #1909
  • 项目部署后接口请求地址问题 #1584
  • 怎么自定义API请求地址 #1576
  • 行数太少,设置行数不生效 #1537
  • 报表code字段不断增加,等复制次数达到一定次数后,code长度超过数据库字段长度,导致无法复制 #1533
  • 积木报表配置自定义函数选择SUM函数合计行之后,取值错误。 #1816
  • 纵向分组排序,排序方式 设置为默认,没有按照源数据进行排序 #1539
集成依赖
<dependency>
  <groupId>org.jeecgframework.jimureport</groupId>
  <artifactId>jimureport-spring-boot-starter</artifactId>
  <version>1.6.1</version>
</dependency>

最新依赖还未上传maven官仓,下载失败请先配置 jeecg的 Maven私服

  • mogodb/redis支持包(按需添加)
<dependency>
  <groupId>org.jeecgframework.jimureport</groupId>
  <artifactId>jimureport-nosql-starter</artifactId>
  <version>1.6.0</version>
</dependency>
其他参考
JeecgBoot jmreport/queryFieldBySql RCE漏洞复现
0xSec
12-12 3256
Jeecg Boot jmreport/queryFieldBySql接口存在代码执行漏洞,攻击者可以通过操纵应用程序的模板引擎来执行恶意代码或获取敏感信息。这种漏洞可能会导致整个应用程序被入侵,造成严重的安全问题。
【Java代码审计】模板注入漏洞
大河之犬的博客
04-02 1351
模板引擎通常用于动态生成Web页面、邮件、报告等内容,它们允许开发人员在模板中插入变量、表达式或代码片段,并在生成输出时进行解析和执行。模板注入漏洞通常发生在模板引擎对用户提供的输入进行不充分或不正确的验证和过滤时,导致恶意用户能够注入恶意代码并执行它们。
修复 Freemarker 模板注入漏洞
kylerduane的博客
08-24 1415
解决Freemarker 模板注入漏洞.,故可以使用我们自己定义的。
漏洞通知】JeecgBoot 修复 Freemarker 模板注入漏洞漏洞危害等级:高危
JEECG官方博客
08-15 6755
漏洞通知】JeecgBoot 修复Freemarker模板注入漏洞漏洞危害等级:高危
Java FreeMarker模板引擎注入深入分析
蚁景网安学院
11-22 1614
最近和 F1or 大师傅一起挖洞的时候发现一处某 CMS SSTI 的 0day,之前自己在复现 jpress 的一些漏洞的时候也发现了 SSTI 这个洞杀伤力之大。今天来好好系统学习一手。
freemarker模版注入
l_l_c_q的博客
08-25 1644
freemarker模版注入
Freemarker模板注入:CVE-2020-7477
守拙的博客
08-04 2535
一、漏洞名称: FusionAuth存在Freemarker模板注入导致远程命令执行 二、漏洞编号: CVE-2020-7477 三、漏洞描述: 在FusionAuth 1.11.0之前版本存在注入漏洞,经过身份验证的用户被允许编辑电子邮件模板或主题, 远程攻击者可利用该漏洞调用在系统上执行任意命令。 四、影响版本: FusionAuth <= 1.11.0 五、漏洞分析 通过对直接编辑freemarker模板,调用freemarker.template.utility.E
JimuReport 积木报表 v1.6.4 稳定版本正式发布 — 开源免费的低代码报表
JEECG官方博客
10-16 1468
继安全加固版本后的稳定版本修复因为安全升级导致的一些 bug,进一步优化相关功能
【代码审计】模板注入
TeamsSix 的 CSDN 空间
12-03 1215
0x00 介绍 这里主要学习下 FreeMarker 模板注入FreeMarker 是一款模板引擎,FreeMarker 模板文件与 HTML 一样都是静态页面,当用户访问页面时,FreeMarker 引擎会进行解析并动态替换模板中的内容进行渲染,然后将渲染后的结果返回到浏览器中。 0x01 FreeMarker 模板 FreeMarker 模板语言(FreeMarker Template Language,FTL)由 4 个部分组成,分别如下: 文本:包括 HTML 标签与静态文本等静态内容,该部分
JeecgBoot3.5漏洞升级—快速文档
JEECG官方博客
11-24 1244
近几年来,黑客攻击行为呈现出日益复杂和隐蔽的趋势,对个人和组织的安全造成了严重威胁。黑客们不断寻找新的漏洞安全漏洞,利用各种手段进行网络攻击,包括恶意软件、网络钓鱼、勒索软件等。因此,我们每个人都需要关注漏洞风险,加强网络安全意识,及时更新系统补丁。目前有网友反馈受到攻击勒索,虽然我们的商业客户并没受到影响,但也请尽快升级补丁,避免未知的风险
freemarker代码生成器_Jeecg Boot 代码生成器简介
weixin_39605894的博客
01-01 506
功能介绍:JeecgBoot代码生成器非常强大:支持单表、一对多、一对一、树模型生成,生成的代码包括前台和后台,生成后直接使用,无需修改。功能说明: 一键生成的代码(包括:controller、service、dao、mapper、entity、vue)代码生成器分两种模式: Online在线模式 和 GUI模式(弃用)模式区别:Online模式比GUI的代码生成器更强大,支持更多的组件生成,建议...
【严重】jeecg-boot/积木报表基于SSTI的任意代码执行漏洞
murphysec的博客
08-17 1745
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。官方已发布补丁:https://github.com/jeecgboot/jeecg-boot/commit/acb48179ab00e167747fa4a3e4fd3b94c78aeda5。
Java代码审计-模板注入漏洞
最新发布
2301_79629995的博客
11-11 1397
Java代码审计中的模板注入漏洞,主要介绍了Freemark和velocity,以及一些注入的payload
freemarker模板注入
weixin_44522540的博客
02-15 2313
一、freemarker和thymeleaf区别 freemarker这种编程式模板引擎,比如我们用一个判断会这么写 <#if ${isBig}>Wow!</#if> 而在thymeleaf中首先要考虑的问题是我的DOM是什么,而不是将 if 的逻辑放在哪里 在thymeleaf中判断会写出下面代码: <div th:switch="${user.role}"> <p th:case="'admin'">User is an administrator
JeecgBoot jmreport/loadTableData RCE漏洞复现
qq_36334672的博客
02-04 3745
Jeecg Boot jmreport/loadTableData接口存在FreeMarker SSTI注入漏洞,攻击者可以通过操纵应用程序的模板引擎来执行恶意代码或获取敏感信息。
FreeMarker入门到简要分析模版注入
weixin_65550121的博客
06-26 1066
FreeMarker 是一款模板引擎: 即一种基于模板和要改变的数据, 并用来生成输出文本(HTML网页,电子邮件,配置文件,源代码等)的通用工具。它不是面向最终用户的,而是一个Java类库,是一款程序员可以嵌入他们所开发产品的组件。模板编写为FreeMarker Template Language (FTL)。它是简单的,专用的语言,不是像PHP那样成熟的编程语言。那就意味着要准备数据在真实编程语言中来显示,比如数据库查询和业务运算, 之后模板显示已经准备好的数据。
JeecgBoot JimuReport testConnection RCE漏洞复现
0xSec
12-12 2815
JeecgBoot 的 jeecg-boot/jmreport/testConnection 未进行身份验证,并且未对 dbUrl 参数进行限制,当应用端存在H2数据库驱动依赖时,攻击者发送包含恶意 dbUrl 参数的 http 请求远程执行任意代码。
4.Spring Boot + Freemarker 中的弯弯绕!
Javaer
05-23 620
Spring Boot + Freemarker 中的弯弯绕! 昨天说手把手教大家整一个代码自动生成工具,用到了 Freemarker,结果有不少小伙伴表示对 Freemarker 不熟悉,这不,松哥赶紧整一个 Spring Boot+Freemarker 的教程出来,和大家分享下 Freemarker 中的常见操作。 [TOC] 大家在网上可能都看到过一些代码生成工具,很酷!MyBatis、Service、Controller、Model 全部都可以自动生成。 这些工具的实现其实非常 Easy,只要
积木报表 JimuReport v1.6.2-GA5版本发布—高危SQL漏洞安全加固版本
JEECG官方博客
09-11 925
重点解决SQL漏洞被攻击等安全问题!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JEECG低代码平台

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值